Microsoft setter maskinvare for databeskyttelse i Azure for å hjelpe kundene til å føle seg trygge på å dele data med autoriserte parter i skymiljøet. Selskapet kom med en rekke kunngjøringer om maskinvaresikkerhet på sin Ignite 2022-konferanse denne uken for å fremheve Azures konfidensielle databehandlingstilbud.
Konfidensiell databehandling innebærer å lage et Trusted Execution Environment (TEE), i hovedsak en svart boks for å holde krypterte data. I en prosess som kalles attestasjon, kan autoriserte parter plassere kode inne i boksen for å dekryptere og få tilgang til informasjonen uten først å måtte flytte dataene ut av det beskyttede området. Den maskinvarebeskyttede enklaven skaper et pålitelig miljø der data er manipulasjonssikkert, og dataene er ikke tilgjengelige selv for de som har fysisk tilgang til serveren, en hypervisor eller til og med en applikasjon.
"Det er egentlig på en måte det ultimate innen databeskyttelse," sa Mark Russinovich, teknologisjef i Microsoft Azure, hos Ignite.
Ombord med AMDs Epyc
Flere av Microsofts nye maskinvaresikkerhetslag dra nytte av on-chip-funksjoner inkludert i Epyc – serverprosessoren fra Advanced Micro Devices distribuert på Azure.
En slik funksjon er SEV-SNP, som krypterer AI-data i en CPU. Maskinlæringsapplikasjoner flytter data kontinuerlig mellom en CPU, akseleratorer, minne og lagring. AMDs SEV-SNP sikrer datasikkerhet inne i CPU-miljøet, mens den låser tilgangen til den informasjonen mens den går gjennom utførelsessyklusen.
AMDs SEV-SNP-funksjon lukker et kritisk gap slik at data er sikre på alle lag mens de oppholder seg eller beveger seg i maskinvaren. Andre brikkeprodusenter har i stor grad fokusert på å kryptere data mens de er lagret og under overføring på kommunikasjonsnettverk, men AMDs funksjoner sikrer data mens de behandles i CPU.
Det gir flere fordeler, og selskaper vil kunne blande proprietære data med tredjeparts datasett som ligger i andre sikre enklaver på Azure. SEV-SNP-funksjonene bruker attestasjon for å sikre at innkommende data er i sin nøyaktige form fra en stolende part og kan stole på.
"Dette muliggjør nye nettscenarier og konfidensiell databehandling som ikke var mulig før," sa Amar Gowda, hovedproduktsjef i Microsoft Azure, under en Ignite-webcast.
For eksempel vil banker kunne dele konfidensielle data uten frykt for at noen skal stjele dem. SEV-SNP-funksjonen vil bringe krypterte bankdata inn i den sikre tredjeparts enklaven der den kan blande seg med datasett fra andre kilder.
"På grunn av denne attestasjonen og minnebeskyttelsen og integritetsbeskyttelsen kan du være trygg på at dataene ikke forlater grensene i feil hender. Det hele handler om hvordan du aktiverer nye tilbud på toppen av denne plattformen, sa Gowda.
Maskinvaresikkerhet på virtuelle maskiner
Microsoft har også lagt til ekstra sikkerhet for skybaserte arbeidsbelastninger, og de ikke-eksporterbare krypteringsnøklene generert ved hjelp av SEV-SNP passer logisk for enklaver der data er forbigående og ikke beholdes, James Sanders, hovedanalytiker for sky, infrastruktur og kvante ved CCS Insight, sier i en samtale med Dark Reading.
"For Azure Virtual Desktop legger SEV-SNP til et ekstra lag med sikkerhet for brukstilfeller for virtuelle stasjonære datamaskiner, inkludert ta med-din-egen-enhet-arbeidsplasser, eksternt arbeid og grafikkintensive applikasjoner," sier Sanders.
Noen arbeidsbelastninger har ikke flyttet til skyen på grunn av regulerings- og overholdelsesbegrensninger knyttet til personvern og sikkerhet for data. Maskinvaresikkerhetslagene vil tillate selskaper å migrere slike arbeidsbelastninger uten å kompromittere deres sikkerhetsstilling, sa Run Cai, en hovedprogramleder hos Microsoft, under konferansen.
Microsoft kunngjorde også at det virtuelle Azure-skrivebordet med konfidensiell VM var i offentlig forhåndsvisning, som vil kunne kjøre Windows 11-attestering på konfidensielle VM-er.
"Du kan bruke sikker fjerntilgang med Windows Hei og også sikker tilgang til Microsoft Office 365-applikasjoner innenfor konfidensielle VM-er," sa Cai.
Microsoft har drevet med bruken av AMDs SEV-SNP i generelle VM-er fra tidligere i år, noe som var en god start, sier Sanders fra CCS Insight.
Adopsjon av SEV-SNP er også viktig validering for AMD blant datasenter- og skykunder, ettersom tidligere innsats for konfidensiell databehandling var avhengig av delvis sikre enklaver i stedet for å beskytte hele vertssystemet.
"Dette var ikke enkelt å konfigurere, og Microsoft overlot det til partnere å tilby sikkerhetsløsninger som utnyttet sikkerhetsfunksjoner i silikon," sier Sanders.
Microsofts Russinovich sa at Azure-tjenester for å administrere maskinvare og distribusjon av kode for konfidensiell databehandling kommer. Mange av disse administrerte tjenestene vil være basert på Confidential Consortium Framework, som er et Microsoft-utviklet åpen kildekode-miljø for konfidensiell databehandling.
"Administrert service er i forhåndsvisningsform ... vi har kunder som sparker dekkene på den," sa Russinovich.
