Корпорація Майкрософт надає апаратне забезпечення захисту даних в Azure, щоб допомогти клієнтам бути впевненими в обміні даними з авторизованими сторонами в хмарному середовищі. Цього тижня на конференції Ignite 2022 компанія зробила серію оголошень щодо безпеки апаратного забезпечення, щоб висвітлити конфіденційні обчислювальні пропозиції Azure.
Конфіденційні обчислення передбачає створення довіреного середовища виконання (TEE), по суті чорного ящика для зберігання зашифрованих даних. У процесі, який називається атестацією, уповноважені сторони можуть розміщувати код усередині коробки для розшифровки та доступу до інформації, не переміщуючи дані із захищеного простору. Апаратно захищений анклав створює надійне середовище, у якому дані захищені від втручання, і дані недоступні навіть для тих, хто має фізичний доступ до сервера, гіпервізора чи навіть програми.
«Це справді найкращий захист даних», — сказав на Ignite Марк Руссінович, головний технічний директор Microsoft Azure.
На борту з Epyc від AMD
Декілька новинок Microsoft апаратні рівні безпеки скористайтеся перевагами вбудованих функцій Epyc — серверного процесора від Advanced Micro Devices, розгорнутого в Azure.
Однією з таких функцій є SEV-SNP, який шифрує дані штучного інтелекту в ЦП. Програми машинного навчання безперервно переміщують дані між ЦП, прискорювачами, пам’яттю та сховищем. SEV-SNP від AMD забезпечує безпека даних у середовищі ЦП, одночасно блокуючи доступ до цієї інформації під час проходження циклу виконання.
Функція AMD SEV-SNP усуває критичну прогалину, тому дані захищені на всіх рівнях під час перебування або переміщення в апаратному забезпеченні. Інші виробники чіпів здебільшого зосереджуються на шифруванні даних під час зберігання та передачі в мережах зв’язку, але функції AMD захищають дані під час обробки в ЦП.
Це пропонує численні переваги, і компанії зможуть змішувати власні дані зі сторонніми наборами даних, які знаходяться в інших безпечних анклавах на Azure. Функції SEV-SNP використовують атестацію, щоб переконатися, що вхідні дані мають точну форму від a покладається сторона і можна довіряти.
«Це створює нові сценарії та конфіденційні обчислення, які раніше були неможливі», — сказав Амар Гоуда, головний менеджер із продуктів Microsoft Azure, під час веб-трансляції Ignite.
Наприклад, банки зможуть ділитися конфіденційними даними, не побоюючись, що хтось їх вкраде. Функція SEV-SNP перенесе зашифровані банківські дані в захищений сторонній анклав, де вони можуть змішуватися з наборами даних з інших джерел.
«Завдяки цій атестації та захисту пам’яті та захисту цілісності ви можете бути впевнені, що дані не залишать межі в чужих руках. Вся справа в тому, як увімкнути нові пропозиції на цій платформі», — сказав Гоуда.
Безпека обладнання на віртуальних машинах
Microsoft також додала додатковий захист для хмарних робочих навантажень, а неекспортовані ключі шифрування, згенеровані за допомогою SEV-SNP, логічно підходять для анклавів, де дані тимчасові та не зберігаються, Джеймс Сандерс, головний аналітик хмарних технологій, інфраструктури та квантової інформації CCS Insight, йдеться в розмові з Dark Reading.
«Для віртуального робочого столу Azure SEV-SNP додає додатковий рівень безпеки для випадків використання віртуального робочого столу, включаючи робочі місця з власним пристроєм, віддалену роботу та додатки з інтенсивним використанням графіки», — каже Сандерс.
Деякі робочі навантаження не перенесено в хмару через обмеження нормативно-правових актів і відповідності, пов’язані з конфіденційністю та безпекою даних. Апаратні рівні безпеки дозволять компаніям переносити такі робочі навантаження без шкоди для безпеки, сказав під час конференції Ран Цай, головний програмний менеджер Microsoft.
Корпорація Майкрософт також оголосила, що віртуальний робочий стіл Azure з конфіденційною віртуальною машиною був у загальнодоступній попередній версії, яка зможе запускати атестацію Windows 11 на конфіденційних віртуальних машинах.
«Ви можете використовувати безпечний віддалений доступ за допомогою Windows Hello а також безпечний доступ до програм Microsoft Office 365 у конфіденційних віртуальних машинах», — сказав Цай.
За словами Сандерса з CCS Insight, Microsoft пробувала використовувати AMD SEV-SNP у віртуальних машинах загального призначення з початку цього року, що було хорошим початком.
Прийняття SEV-SNP також є важливим підтвердженням для AMD серед клієнтів центрів обробки даних і хмар, оскільки попередні зусилля щодо конфіденційних обчислень покладалися на часткові безпечні анклави, а не на захист усієї хост-системи.
«Це було непросто налаштувати, і Microsoft залишила партнерам надавати рішення безпеки, які використовують вбудовані функції безпеки», — каже Сандерс.
Руссінович із Microsoft сказав, що з’являться служби Azure для керування обладнанням і розгортання коду для конфіденційних обчислень. Багато з цих керованих служб базуватимуться на Confidential Consortium Framework, що є розробленим Microsoft середовищем із відкритим кодом для конфіденційних обчислень.
«Керована послуга знаходиться у формі попереднього перегляду… у нас є клієнти, які не втомлюються», — сказав Руссінович.
