Firma Microsoft wprowadza sprzęt odpowiedzialny za ochronę danych na platformie Azure, aby pomóc klientom czuć się pewnie podczas udostępniania danych autoryzowanym podmiotom w środowisku chmury. Na konferencji Ignite 2022 w tym tygodniu firma ogłosiła serię ogłoszeń dotyczących bezpieczeństwa sprzętu, aby podkreślić ofertę poufnych rozwiązań obliczeniowych platformy Azure.
Poufne przetwarzanie wiąże się z utworzeniem Trusted Execution Environment (TEE), zasadniczo czarnej skrzynki do przechowywania zaszyfrowanych danych. W procesie zwanym atestacją upoważnione strony mogą umieścić kod w pudełku, aby odszyfrować i uzyskać dostęp do informacji bez konieczności uprzedniego przenoszenia danych z chronionej przestrzeni. Enklawa chroniona sprzętowo tworzy godne zaufania środowisko, w którym dane są odporne na manipulacje, a dane nie są dostępne nawet dla osób, które mają fizyczny dostęp do serwera, hipernadzorcy, a nawet aplikacji.
„To naprawdę szczytowe osiągnięcie w dziedzinie ochrony danych”, powiedział Mark Russinovich, dyrektor ds. technologii Microsoft Azure, powiedział w Ignite.
Na pokładzie z AMD Epyc
Kilka nowych Microsoft sprzętowe warstwy bezpieczeństwa skorzystaj z wbudowanych funkcji zawartych w Epyc — procesorze serwera firmy Advanced Micro Devices wdrożonym na platformie Azure.
Jedną z takich funkcji jest SEV-SNP, która szyfruje dane AI w procesorze. Aplikacje uczenia maszynowego w sposób ciągły przenoszą dane między procesorem, akceleratorami, pamięcią i pamięcią masową. SEV-SNP AMD zapewnia bezpieczeństwo danych w środowisku procesora, blokując dostęp do tych informacji w trakcie cyklu wykonywania.
Funkcja SEV-SNP firmy AMD zamyka krytyczną lukę, dzięki czemu dane są bezpieczne we wszystkich warstwach podczas przebywania lub przenoszenia w sprzęcie. Inni producenci chipów w dużej mierze skoncentrowali się na szyfrowaniu danych podczas przechowywania i przesyłania w sieciach komunikacyjnych, ale AMD zapewnia bezpieczeństwo danych podczas przetwarzania w procesorze.
Daje to wiele korzyści, a firmy będą mogły mieszać dane zastrzeżone z zestawami danych innych firm znajdującymi się w innych bezpiecznych enklawach na platformie Azure. Funkcje SEV-SNP wykorzystują atestację, aby zapewnić, że przychodzące dane są w dokładnej formie od: strona ufająca i można ufać.
„Dzięki temu możliwe są nowe scenariusze sieciowe i poufne przetwarzanie danych, które wcześniej nie były możliwe” — powiedział Amar Gowda, główny menedżer produktu w Microsoft Azure, podczas webcastu Ignite.
Na przykład banki będą mogły udostępniać poufne dane bez obawy, że ktoś je ukradnie. Funkcja SEV-SNP przeniesie zaszyfrowane dane bankowe do bezpiecznej enklawy stron trzecich, gdzie mogą mieszać się z zestawami danych z innych źródeł.
„Dzięki temu poświadczeniu oraz ochronie pamięci i ochronie integralności możesz mieć pewność, że dane nie opuszczają granic w niepowołanych rękach. Cała sprawa dotyczy tego, jak włączyć nowe oferty na tej platformie” – powiedział Gowda.
Bezpieczeństwo sprzętowe na maszynach wirtualnych
Firma Microsoft dodała również dodatkowe zabezpieczenia dla obciążeń natywnych dla chmury, a nieeksportowalne klucze szyfrowania wygenerowane przy użyciu SEV-SNP są logicznym rozwiązaniem dla enklaw, w których dane są przejściowe i nie są przechowywane, James Sanders, główny analityk ds. chmury, infrastruktury i CCS Insight, mówi w rozmowie z Dark Reading.
„W przypadku Azure Virtual Desktop, SEV-SNP dodaje dodatkową warstwę zabezpieczeń dla przypadków użycia wirtualnych pulpitów, w tym miejsc pracy z własnym urządzeniem, pracy zdalnej i aplikacji intensywnie korzystających z grafiki” — mówi Sanders.
Niektóre obciążenia nie zostały przeniesione do chmury ze względu na regulacje i ograniczenia zgodności związane z prywatnością i bezpieczeństwem danych. Warstwy zabezpieczeń sprzętowych pozwolą firmom na migrację takich obciążeń bez narażania ich stanu bezpieczeństwa, powiedział podczas konferencji Run Cai, główny menedżer programu w firmie Microsoft.
Microsoft ogłosił również, że pulpit wirtualny Azure z poufną maszyną wirtualną jest w publicznej wersji zapoznawczej, która będzie mogła uruchamiać atest Windows 11 na poufnych maszynach wirtualnych.
„Możesz korzystać z bezpiecznego zdalnego dostępu za pomocą Windows Hello a także bezpieczny dostęp do aplikacji Microsoft Office 365 w ramach poufnych maszyn wirtualnych” – powiedział Cai.
Microsoft od początku tego roku bawi się SEV-SNP AMD w maszynach wirtualnych ogólnego przeznaczenia, co było dobrym początkiem, mówi Sanders z CCS Insight.
Przyjęcie SEV-SNP jest również ważną walidacją dla AMD wśród klientów centrum danych i chmury, ponieważ poprzednie wysiłki w zakresie przetwarzania poufnego opierały się na częściowych bezpiecznych enklawach, a nie na ochronie całego systemu hosta.
„Skonfigurowanie tego nie było proste, a Microsoft zostawił partnerom zapewnienie rozwiązań zabezpieczających wykorzystujących wbudowane funkcje bezpieczeństwa” — mówi Sanders.
Russinovich z Microsoftu powiedział, że nadchodzą usługi Azure do zarządzania sprzętem i wdrażania kodu do przetwarzania poufnego. Wiele z tych zarządzanych usług będzie opartych na Confidential Consortium Framework, czyli opracowanym przez firmę Microsoft środowisku open source do przetwarzania poufnego.
„Usługa zarządzana jest w formie przedpremierowej… mamy klientów, którzy rzucają na nią opony”, powiedział Russinovich.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
