Microsoft ปกป้อง Azure Enclaves ด้วยฮาร์ดแวร์การ์ด

Microsoft กำหนดให้ฮาร์ดแวร์รับผิดชอบการปกป้องข้อมูลใน Azure เพื่อช่วยให้ลูกค้ารู้สึกมั่นใจเกี่ยวกับการแบ่งปันข้อมูลกับฝ่ายที่ได้รับอนุญาตภายในสภาพแวดล้อมระบบคลาวด์ บริษัทได้ประกาศเกี่ยวกับความปลอดภัยของฮาร์ดแวร์หลายครั้งในการประชุม Ignite 2022 ในสัปดาห์นี้ เพื่อเน้นย้ำถึงข้อเสนอการประมวลผลที่เป็นความลับของ Azure

การประมวลผลที่เป็นความลับ เกี่ยวข้องกับการสร้าง Trusted Execution Environment (TEE) โดยพื้นฐานแล้วจะเป็นกล่องดำเพื่อเก็บข้อมูลที่เข้ารหัส ในกระบวนการที่เรียกว่าการรับรอง หน่วยงานที่ได้รับอนุญาตสามารถวางรหัสในกล่องเพื่อถอดรหัสและเข้าถึงข้อมูลโดยไม่ต้องย้ายข้อมูลออกจากพื้นที่ที่ได้รับการป้องกันก่อน วงล้อมที่มีการป้องกันด้วยฮาร์ดแวร์จะสร้างสภาพแวดล้อมที่น่าเชื่อถือซึ่งข้อมูลสามารถป้องกันการงัดแงะได้ และข้อมูลนั้นไม่สามารถเข้าถึงได้แม้กระทั่งผู้ที่มีการเข้าถึงทางกายภาพไปยังเซิร์ฟเวอร์ ไฮเปอร์ไวเซอร์ หรือแม้แต่แอปพลิเคชัน

Mark Russinovich ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Microsoft Azure กล่าวว่า "เป็นการปกป้องข้อมูลขั้นสูงสุดอย่างแท้จริง"

ออนบอร์ดด้วย Epyc . ของ AMD

ใหม่หลายรายการของ Microsoft ชั้นความปลอดภัยของฮาร์ดแวร์ ใช้ประโยชน์จากคุณสมบัติบนชิปที่รวมอยู่ใน Epyc — ตัวประมวลผลเซิร์ฟเวอร์จากอุปกรณ์ไมโครขั้นสูงที่ปรับใช้บน Azure

หนึ่งในคุณสมบัติดังกล่าวคือ SEV-SNP ซึ่งเข้ารหัสข้อมูล AI เมื่ออยู่ใน CPU แอปพลิเคชันการเรียนรู้ด้วยเครื่องจะย้ายข้อมูลอย่างต่อเนื่องระหว่าง CPU ตัวเร่งความเร็ว หน่วยความจำ และพื้นที่เก็บข้อมูล SEV-SNP ของ AMD ช่วยให้มั่นใจ ความปลอดภัยของข้อมูลภายในสภาพแวดล้อมของ CPUขณะล็อกการเข้าถึงข้อมูลนั้นเมื่อผ่านรอบการดำเนินการ

คุณสมบัติ SEV-SNP ของ AMD ช่วยปิดช่องว่างที่สำคัญ ดังนั้นข้อมูลจึงปลอดภัยในทุกชั้นขณะที่อยู่หรือเคลื่อนย้ายในฮาร์ดแวร์ ผู้ผลิตชิปรายอื่นๆ ให้ความสำคัญกับการเข้ารหัสข้อมูลเป็นส่วนใหญ่ในขณะที่จัดเก็บและถ่ายโอนบนเครือข่ายการสื่อสาร แต่ AMD นำเสนอข้อมูลที่ปลอดภัยในขณะที่ประมวลผลใน CPU

ซึ่งมีประโยชน์หลายประการ และบริษัทต่างๆ จะสามารถผสมผสานข้อมูลที่เป็นกรรมสิทธิ์กับชุดข้อมูลของบริษัทอื่นที่อยู่ในวงล้อมที่ปลอดภัยอื่นๆ บน Azure คุณสมบัติ SEV-SNP ใช้การรับรองเพื่อให้แน่ใจว่าข้อมูลที่เข้ามาอยู่ในรูปแบบที่แน่นอนจากa พรรคการเมือง และสามารถเชื่อถือได้

Amar Gowda ผู้จัดการผลิตภัณฑ์หลักของ Microsoft Azure กล่าวว่า "สิ่งนี้ทำให้เกิดสถานการณ์ใหม่ๆ และการประมวลผลที่เป็นความลับ ซึ่งไม่เคยเกิดขึ้นมาก่อน" ในระหว่างการออกอากาศทางเว็บของ Ignite

ตัวอย่างเช่น ธนาคารจะสามารถแบ่งปันข้อมูลที่เป็นความลับโดยไม่ต้องกลัวว่าจะมีใครขโมยข้อมูล คุณลักษณะ SEV-SNP จะนำข้อมูลธนาคารที่เข้ารหัสเข้าสู่วงล้อมบุคคลที่สามที่ปลอดภัย ซึ่งสามารถผสมผสานกับชุดข้อมูลจากแหล่งอื่นได้

“ด้วยการรับรองและการปกป้องหน่วยความจำและการปกป้องความสมบูรณ์ คุณจึงวางใจได้ว่าข้อมูลจะไม่ทิ้งขอบเขตไว้ในมือของผู้ไม่หวังดี ทั้งหมดนั้นเกี่ยวกับวิธีที่คุณเปิดใช้งานข้อเสนอใหม่บนแพลตฟอร์มนี้” Gowda กล่าว

ความปลอดภัยของฮาร์ดแวร์บนเครื่องเสมือน

Microsoft ยังเพิ่มการรักษาความปลอดภัยเพิ่มเติมสำหรับปริมาณงานบนระบบคลาวด์ และคีย์การเข้ารหัสที่ไม่สามารถส่งออกได้ที่สร้างโดยใช้ SEV-SNP นั้นเหมาะสมตามตรรกะสำหรับวงล้อมที่ข้อมูลชั่วคราวและไม่ถูกเก็บรักษาไว้ James Sanders นักวิเคราะห์หลักสำหรับระบบคลาวด์ โครงสร้างพื้นฐาน และควอนตัมที่ CCS Insight กล่าวในการสนทนากับ Dark Reading

“สำหรับ Azure Virtual Desktop SEV-SNP ได้เพิ่มชั้นการรักษาความปลอดภัยเพิ่มเติมสำหรับกรณีการใช้งานเดสก์ท็อปเสมือน รวมถึงสถานที่ทำงานของอุปกรณ์ของคุณเอง การทำงานระยะไกล และแอพพลิเคชั่นที่เน้นกราฟิก” แซนเดอร์สกล่าว

ปริมาณงานบางอย่างไม่ได้ย้ายไปยังระบบคลาวด์เนื่องจากข้อจำกัดด้านกฎระเบียบและการปฏิบัติตามข้อกำหนดซึ่งเชื่อมโยงกับความเป็นส่วนตัวและความปลอดภัยของข้อมูล เลเยอร์ความปลอดภัยของฮาร์ดแวร์จะช่วยให้บริษัทต่างๆ สามารถโยกย้ายปริมาณงานดังกล่าวได้โดยไม่กระทบต่อการรักษาความปลอดภัยของตน Run Cai ผู้จัดการโปรแกรมหลักของ Microsoft กล่าวในระหว่างการประชุม

Microsoft ยังประกาศว่าเดสก์ท็อปเสมือน Azure ที่มี VM ที่เป็นความลับอยู่ในการแสดงตัวอย่างสาธารณะ ซึ่งสามารถเรียกใช้การรับรอง Windows 11 บน VM ที่เป็นความลับได้

“คุณสามารถใช้การเข้าถึงระยะไกลที่ปลอดภัยด้วย Windows สวัสดี และยังรักษาความปลอดภัยในการเข้าถึงแอปพลิเคชัน Microsoft Office 365 ภายใน VM ที่เป็นความลับ” Cai กล่าว

Sanders แห่ง CCS Insight กล่าวว่า Microsoft ได้ใช้ SEV-SNP ของ AMD ใน VM อเนกประสงค์เมื่อต้นปีนี้ ซึ่งเป็นการเริ่มต้นที่ดี

การนำ SEV-SNP มาใช้เป็นการตรวจสอบที่สำคัญสำหรับ AMD ในกลุ่มดาต้าเซ็นเตอร์และลูกค้าคลาวด์ เนื่องจากความพยายามก่อนหน้านี้ในการประมวลผลที่เป็นความลับนั้นอาศัยการรักษาความปลอดภัยบางส่วนมากกว่าการปกป้องระบบโฮสต์ทั้งหมด

"การกำหนดค่านี้ไม่ได้ตรงไปตรงมา และ Microsoft ปล่อยให้คู่ค้าจัดหาโซลูชันการรักษาความปลอดภัยที่ใช้ประโยชน์จากคุณลักษณะด้านความปลอดภัยในซิลิคอน" แซนเดอร์สกล่าว

Russinovich ของ Microsoft กล่าวว่าบริการ Azure เพื่อจัดการฮาร์ดแวร์และการปรับใช้รหัสสำหรับการประมวลผลที่เป็นความลับกำลังจะมาถึง บริการที่มีการจัดการจำนวนมากนั้นจะใช้ Confidential Consortium Framework ซึ่งเป็นสภาพแวดล้อมโอเพ่นซอร์สที่ Microsoft พัฒนาขึ้นสำหรับการประมวลผลที่เป็นความลับ

“บริการที่มีการจัดการอยู่ในรูปแบบการแสดงตัวอย่าง … เรามีลูกค้าที่กำลังใช้งานยางอยู่” Russinovich กล่าว