Microsoft lägger hårdvaran för dataskyddet i Azure för att hjälpa kunder att känna sig säkra på att dela data med auktoriserade parter inom molnmiljön. Företaget gjorde en serie säkerhetsmeddelanden för hårdvara vid sin Ignite 2022-konferens denna vecka för att lyfta fram Azures konfidentiella datorerbjudanden.
Konfidentiell databehandling innebär att skapa en Trusted Execution Environment (TEE), i huvudsak en svart låda för att hålla krypterad data. I en process som kallas attestation kan auktoriserade parter placera kod i lådan för att dekryptera och komma åt informationen utan att först behöva flytta ut data från det skyddade utrymmet. Den hårdvaruskyddade enklaven skapar en pålitlig miljö där data är manipuleringssäker och data inte är tillgänglig för ens de som har fysisk åtkomst till servern, en hypervisor eller ens en applikation.
"Det är verkligen det ultimata inom dataskydd," sa Mark Russinovich, Microsoft Azures tekniska chef, på Ignite.
Ombord med AMD:s Epyc
Flera av Microsofts nya hårdvarusäkerhetslager dra fördel av on-chip-funktioner som ingår i Epyc – serverprocessorn från Advanced Micro Devices distribuerad på Azure.
En sådan funktion är SEV-SNP, som krypterar AI-data i en CPU. Maskininlärningsapplikationer flyttar data kontinuerligt mellan en CPU, acceleratorer, minne och lagring. AMD:s SEV-SNP säkerställer datasäkerhet inuti CPU-miljön, samtidigt som den låser åtkomst till den informationen när den går igenom exekveringscykeln.
AMD:s SEV-SNP-funktion täpper till ett kritiskt gap så att data är säkra på alla lager medan de finns eller rör sig i hårdvaran. Andra chiptillverkare har till stor del fokuserat på att kryptera data under lagring och överföring på kommunikationsnätverk, men AMD:s har säker data samtidigt som den bearbetas i CPU:n.
Det ger flera fördelar, och företag kommer att kunna blanda proprietär data med tredjepartsdatauppsättningar som finns i andra säkra enklaver på Azure. SEV-SNP-funktionerna använder bestyrkande för att säkerställa att inkommande data är i sin exakta form från en förlitande part och kan lita på.
"Detta möjliggör netto nya scenarier och konfidentiell datoranvändning som inte var möjlig tidigare", sa Amar Gowda, huvudproduktchef på Microsoft Azure, under en Ignite-webcast.
Till exempel kommer banker att kunna dela konfidentiell data utan att vara rädd för att någon ska stjäla den. SEV-SNP-funktionen kommer att föra in krypterad bankdata till den säkra tredje parts enklaven där den kan blandas med datauppsättningar från andra källor.
”På grund av detta intygande och minnesskydd och integritetsskydd kan du vara säker på att data inte lämnar gränserna i fel händer. Det hela handlar om hur du möjliggör nya erbjudanden ovanpå den här plattformen, säger Gowda.
Hårdvarusäkerhet på virtuella maskiner
Microsoft har också lagt till ytterligare säkerhet för molnbaserade arbetsbelastningar, och de icke-exporterbara krypteringsnycklarna som genereras med SEV-SNP är en logisk passform för enklaver där data är övergående och inte behålls, säger James Sanders, huvudanalytiker för moln, infrastruktur och kvant hos CCS Insight, säger i ett samtal med Dark Reading.
"För Azure Virtual Desktop lägger SEV-SNP till ett extra lager av säkerhet för användningsfall för virtuella skrivbord, inklusive arbetsplatser med med-din-egen-enhet, fjärrarbete och grafikintensiva applikationer", säger Sanders.
Vissa arbetsbelastningar har inte flyttats till molnet på grund av reglerings- och efterlevnadsbegränsningar kopplade till datasekretess och säkerhet. Hårdvarusäkerhetslagren kommer att tillåta företag att migrera sådana arbetsbelastningar utan att kompromissa med deras säkerhetsställning, sa Run Cai, en huvudprogramchef på Microsoft, under konferensen.
Microsoft meddelade också att det virtuella Azure-skrivbordet med konfidentiell virtuell dator var i offentlig förhandsvisning, som kommer att kunna köra Windows 11-bekräftelse på konfidentiella virtuella datorer.
"Du kan använda säker fjärråtkomst med Windows Hej och även säker åtkomst till Microsoft Office 365-applikationer inom konfidentiella virtuella datorer, säger Cai.
Microsoft har pysslat med användningen av AMD:s SEV-SNP i generella virtuella datorer från tidigare i år, vilket var en bra början, säger Sanders från CCS Insight.
Att använda SEV-SNP är också en viktig validering för AMD bland datacenter- och molnkunder, eftersom tidigare ansträngningar för konfidentiell datoranvändning förlitade sig på partiella säkra enklaver snarare än att skydda hela värdsystemet.
"Det här var inte enkelt att konfigurera, och Microsoft överlät det till partners att tillhandahålla säkerhetslösningar som utnyttjade in-silikon säkerhetsfunktioner," säger Sanders.
Microsofts Russinovich sa att Azure-tjänster för att hantera hårdvara och distribution av kod för konfidentiell datoranvändning kommer. Många av dessa hanterade tjänster kommer att baseras på Confidential Consortium Framework, som är en Microsoft-utvecklad öppen källkodsmiljö för konfidentiell datoranvändning.
"Managed service är i förhandsvisningsform ... vi har kunder som sparkar däcken på den," sa Russinovich.
