Microsoft, müşterilerin bulut ortamında yetkili taraflarla veri paylaşma konusunda kendilerini güvende hissetmelerine yardımcı olmak için Azure'da veri korumasından donanımı sorumlu tutuyor. Şirket, Azure'un gizli bilgi işlem tekliflerini vurgulamak için bu hafta Ignite 2022 konferansında bir dizi donanım güvenlik duyurusu yaptı.
Gizli bilgi işlem Bir Güvenilir Yürütme Ortamı (TEE), esasen şifrelenmiş verileri tutmak için bir kara kutu oluşturmayı içerir. Onay adı verilen bir süreçte, yetkili taraflar, önce verileri korumalı alandan çıkarmak zorunda kalmadan şifreyi çözmek ve bilgilere erişmek için kutunun içine kod yerleştirebilir. Donanım korumalı yerleşim, verilerin kurcalanmaya karşı korumalı olduğu ve sunucuya, hiper yöneticiye ve hatta bir uygulamaya fiziksel erişimi olanların bile verilere erişemediği güvenilir bir ortam oluşturur.
Microsoft Azure'un baş teknoloji sorumlusu Mark Russinovich, Ignite'ta “Veri korumasında gerçekten son nokta” dedi.
AMD'nin Epyc'si İle Birlikte
Microsoft'un bazı yeni donanım güvenlik katmanları Azure'da dağıtılan Advanced Micro Devices sunucu işlemcisi olan Epyc'de bulunan çip üzerindeki özelliklerden yararlanın.
Böyle bir özellik, bir CPU'dayken AI verilerini şifreleyen SEV-SNP'dir. Makine öğrenimi uygulamaları, verileri bir CPU, hızlandırıcılar, bellek ve depolama arasında sürekli olarak taşır. AMD'nin SEV-SNP'si CPU ortamında veri güvenliği, yürütme döngüsünden geçerken bu bilgilere erişimi kilitlerken.
AMD'nin SEV-SNP özelliği, donanımda bulunurken veya hareket ederken verilerin tüm katmanlarda güvende olması için kritik bir boşluğu kapatır. Diğer yonga üreticileri, büyük ölçüde depolama sırasında ve iletişim ağlarında aktarım sırasında verileri şifrelemeye odaklandı, ancak AMD'nin özellikleri, CPU'da işlenirken verileri güvenli hale getiriyor.
Bu, birden fazla avantaj sunar ve şirketler, özel verileri Azure'daki diğer güvenli yerleşim bölgelerinde bulunan üçüncü taraf veri kümeleriyle karıştırabilecektir. SEV-SNP özellikleri, gelen verilerin tam olarak bir güvenen taraf ve güvenilebilir.
Microsoft Azure'un baş ürün müdürü Amar Gowda, bir Ignite web yayını sırasında “Bu, daha önce mümkün olmayan net yeni senaryoları ve gizli bilgi işlemi mümkün kılıyor” dedi.
Örneğin bankalar, gizli verileri kimsenin çalmasından korkmadan paylaşabilecekler. SEV-SNP özelliği, şifrelenmiş banka verilerini, diğer kaynaklardan gelen veri kümeleriyle karışabileceği güvenli üçüncü taraf yerleşim bölgesine getirecektir.
"Bu doğrulama ve bellek koruması ve bütünlük koruması nedeniyle, verilerin yanlış ellerde sınırları terk etmeyeceğinden emin olabilirsiniz. Her şey, bu platformun üstünde yeni teklifleri nasıl etkinleştireceğinizle ilgili” dedi Gowda.
Sanal Makinelerde Donanım Güvenliği
Microsoft ayrıca bulutta yerel iş yükleri için ek güvenlik ekledi ve SEV-SNP kullanılarak oluşturulan dışa aktarılamayan şifreleme anahtarları, verilerin geçici olduğu ve tutulmadığı yerleşim bölgeleri için mantıklı bir uyum sağlıyor, James Sanders, bulut, altyapı ve kuantum için baş analist. CCS Insight, Dark Reading ile yaptığı bir konuşmada diyor.
Sanders, "Azure Sanal Masaüstü için SEV-SNP, kendi aygıtını getir çalışma alanları, uzaktan çalışma ve yoğun grafikli uygulamalar dahil olmak üzere sanal masaüstü kullanım durumları için ek bir güvenlik katmanı ekliyor" diyor.
Veri gizliliği ve güvenliğine bağlı düzenleme ve uyumluluk sınırlamaları nedeniyle bazı iş yükleri buluta taşınmadı. Microsoft'un baş program yöneticisi Run Cai konferans sırasında yaptığı açıklamada, donanım güvenlik katmanlarının şirketlerin güvenlik duruşlarından ödün vermeden bu tür iş yüklerini taşımasına izin vereceğini söyledi.
Microsoft ayrıca, gizli VM'li Azure sanal masaüstünün, gizli VM'lerde Windows 11 onayını çalıştırabilecek genel önizlemede olduğunu duyurdu.
“Güvenli uzaktan erişimi aşağıdakilerle kullanabilirsiniz: Windows Merhaba ve ayrıca gizli sanal makinelerdeki Microsoft Office 365 uygulamalarına güvenli erişim" dedi Cai.
CCS Insight'tan Sanders, Microsoft'un bu yılın başlarından itibaren AMD'nin SEV-SNP'sinin genel amaçlı VM'lerde kullanımıyla uğraştığını ve bunun iyi bir başlangıç olduğunu söylüyor.
SEV-SNP'nin benimsenmesi, AMD için veri merkezi ve bulut müşterileri arasında da önemli bir doğrulamadır, çünkü daha önceki gizli bilgi işlem çabaları, tüm ana bilgisayar sistemini korumak yerine kısmi güvenli yerleşimlere dayanıyordu.
Sanders, "Bunu yapılandırmak kolay değildi ve Microsoft, silikon içi güvenlik özelliklerinden yararlanan güvenlik çözümleri sağlamayı iş ortaklarına bıraktı" diyor.
Microsoft'tan Russinovich, gizli bilgi işlem için donanım ve kod dağıtımını yönetmek için Azure hizmetlerinin geldiğini söyledi. Bu yönetilen hizmetlerin çoğu, gizli bilgi işlem için Microsoft tarafından geliştirilmiş bir açık kaynak ortamı olan Confidential Consortium Framework'e dayanacaktır.
Russinovich, "Yönetilen hizmet önizleme aşamasında... lastikleri tekmeleyen müşterilerimiz var," dedi.
