مائیکروسافٹ Azure میں ہارڈ ویئر کو ڈیٹا پروٹیکشن کے ذمہ دار بنا رہا ہے تاکہ صارفین کو کلاؤڈ ماحول میں مجاز فریقوں کے ساتھ ڈیٹا شیئر کرنے کے بارے میں اعتماد محسوس کرنے میں مدد ملے۔ کمپنی نے اس ہفتے اپنی Ignite 2022 کانفرنس میں Azure کی خفیہ کمپیوٹنگ پیشکشوں کو اجاگر کرنے کے لیے ہارڈویئر سیکیورٹی کے اعلانات کی ایک سیریز کی۔
خفیہ کمپیوٹنگ۔ اس میں ایک ٹرسٹڈ ایگزیکیوشن انوائرمنٹ (TEE) بنانا شامل ہے، بنیادی طور پر ایک بلیک باکس جس میں خفیہ کردہ ڈیٹا رکھا جا سکتا ہے۔ تصدیق نامی ایک عمل میں، مجاز جماعتیں ڈیٹا کو محفوظ جگہ سے باہر منتقل کیے بغیر معلومات کو خفیہ کرنے اور اس تک رسائی حاصل کرنے کے لیے باکس کے اندر کوڈ رکھ سکتی ہیں۔ ہارڈ ویئر سے محفوظ انکلیو ایک قابل اعتماد ماحول بناتا ہے جس میں ڈیٹا چھیڑ چھاڑ سے پاک ہوتا ہے، اور ڈیٹا ان لوگوں کے لیے بھی قابل رسائی نہیں ہوتا جو سرور، ہائپر وائزر، یا یہاں تک کہ کسی ایپلیکیشن تک جسمانی رسائی رکھتے ہیں۔
مائیکروسافٹ ایزور کے چیف ٹکنالوجی آفیسر مارک روسینووچ نے Ignite میں کہا کہ "یہ واقعی ڈیٹا کے تحفظ میں حتمی قسم ہے۔"
AMD کے Epyc کے ساتھ بورڈ پر
مائیکروسافٹ کے کئی نئے ہارڈ ویئر سیکورٹی تہوں Epyc میں شامل آن چپ خصوصیات سے فائدہ اٹھائیں — Azure پر تعینات ایڈوانسڈ مائیکرو ڈیوائسز سے سرور پروسیسر۔
ایسی ہی ایک خصوصیت SEV-SNP ہے، جو CPU میں ہونے پر AI ڈیٹا کو انکرپٹ کرتی ہے۔ مشین لرننگ ایپلی کیشنز ڈیٹا کو سی پی یو، ایکسلریٹر، میموری اور اسٹوریج کے درمیان مسلسل منتقل کرتی ہیں۔ AMD کا SEV-SNP یقینی بناتا ہے۔ سی پی یو ماحول کے اندر ڈیٹا سیکیورٹی، اس معلومات تک رسائی کو بند کرتے ہوئے جب یہ عمل درآمد کے چکر سے گزرتی ہے۔
AMD کی SEV-SNP خصوصیت ایک اہم خلا کو ختم کرتی ہے لہذا ہارڈ ویئر میں رہتے ہوئے یا منتقل ہونے کے دوران ڈیٹا تمام پرتوں پر محفوظ رہتا ہے۔ دیگر چپ بنانے والوں نے بڑی حد تک ڈیٹا کو خفیہ کرنے پر توجہ مرکوز کی ہے جب کہ سٹوریج میں اور مواصلاتی نیٹ ورکس پر ٹرانزٹ کے دوران، لیکن AMD کی خصوصیات CPU میں پروسیس ہونے کے دوران ڈیٹا کو محفوظ رکھتی ہیں۔
یہ متعدد فوائد پیش کرتا ہے، اور کمپنیاں Azure پر دوسرے محفوظ انکلیو میں رہنے والے فریق ثالث کے ڈیٹاسیٹس کے ساتھ ملکیتی ڈیٹا کو ملا سکیں گی۔ SEV-SNP کی خصوصیات اس بات کو یقینی بنانے کے لیے تصدیق کا استعمال کرتی ہیں کہ آنے والا ڈیٹا a سے بالکل درست شکل میں ہے۔ انحصار کرنے والی پارٹی اور اعتماد کیا جا سکتا ہے.
"یہ خالص نئے منظرناموں اور خفیہ کمپیوٹنگ کو قابل بنا رہا ہے جو کہ پہلے ممکن نہیں تھا،" امر گوڈا، پرنسپل پروڈکٹ مینیجر Microsoft Azure نے Ignite ویب کاسٹ کے دوران کہا۔
مثال کے طور پر، بینک خفیہ ڈیٹا کو کسی کے چوری ہونے کے خوف کے بغیر شیئر کر سکیں گے۔ SEV-SNP فیچر انکرپٹڈ بینک ڈیٹا کو محفوظ تھرڈ پارٹی انکلیو میں لائے گا جہاں یہ دوسرے ذرائع سے ڈیٹا سیٹس کے ساتھ مل سکتا ہے۔
"اس تصدیق اور میموری کے تحفظ اور سالمیت کے تحفظ کی وجہ سے، آپ یقین کر سکتے ہیں کہ ڈیٹا حدود کو غلط ہاتھوں میں نہیں چھوڑتا ہے۔ پوری چیز اس بارے میں ہے کہ آپ اس پلیٹ فارم کے اوپر نئی پیشکشوں کو کیسے فعال کرتے ہیں،" گوڈا نے کہا۔
ورچوئل مشینوں پر ہارڈ ویئر سیکیورٹی
مائیکروسافٹ نے کلاؤڈ مقامی کام کے بوجھ کے لیے اضافی سیکیورٹی بھی شامل کی، اور SEV-SNP کا استعمال کرتے ہوئے پیدا ہونے والی نان ایکسپورٹ ایبل انکرپشن کیز ان انکلیوز کے لیے موزوں ہیں جہاں ڈیٹا عارضی ہوتا ہے اور اسے برقرار نہیں رکھا جاتا، جیمز سینڈرز، کلاؤڈ، انفراسٹرکچر، اور کوانٹم کے پرنسپل تجزیہ کار۔ سی سی ایس انسائٹ، ڈارک ریڈنگ کے ساتھ بات چیت میں کہتی ہے۔
سینڈرز کا کہنا ہے کہ "Azure ورچوئل ڈیسک ٹاپ کے لیے، SEV-SNP ورچوئل ڈیسک ٹاپ کے استعمال کے معاملات کے لیے سیکیورٹی کی ایک اضافی پرت کا اضافہ کرتا ہے، بشمول آپ کے اپنے آلے کے کام کی جگہیں، ریموٹ ورک، اور گرافکس سے متعلق ایپلی کیشنز"۔
ڈیٹا پرائیویسی اور سیکیورٹی سے منسلک ضابطے اور تعمیل کی حدود کی وجہ سے کچھ کام کا بوجھ کلاؤڈ پر منتقل نہیں ہوا ہے۔ مائیکروسافٹ کے ایک پرنسپل پروگرام مینیجر رن کائی نے کانفرنس کے دوران کہا کہ ہارڈویئر سیکیورٹی لیئرز کمپنیوں کو اس طرح کے کام کے بوجھ کو ان کی حفاظتی کرنسی پر سمجھوتہ کیے بغیر منتقل کرنے کی اجازت دے گی۔
مائیکروسافٹ نے یہ بھی اعلان کیا کہ رازدارانہ VM کے ساتھ Azure ورچوئل ڈیسک ٹاپ عوامی پیش نظارہ میں تھا، جو خفیہ VMs پر ونڈوز 11 کی تصدیق چلانے کے قابل ہو گا۔
"آپ اس کے ساتھ محفوظ ریموٹ رسائی استعمال کرسکتے ہیں۔ ونڈوز ہیلو اور خفیہ VMs کے اندر مائیکروسافٹ آفس 365 ایپلی کیشنز تک محفوظ رسائی بھی،" Cai نے کہا۔
سی سی ایس انسائٹ کے سینڈرز کا کہنا ہے کہ مائیکروسافٹ اس سال کے شروع سے عام مقصد کے VMs میں AMD کے SEV-SNP کے استعمال کے ساتھ کام کر رہا ہے، جو ایک اچھی شروعات تھی۔
ڈیٹا سینٹر اور کلاؤڈ صارفین کے درمیان AMD کے لیے SEV-SNP کو اپنانا بھی اہم توثیق ہے، کیونکہ خفیہ کمپیوٹنگ کی پچھلی کوششیں پورے میزبان نظام کی حفاظت کے بجائے جزوی محفوظ انکلیو پر انحصار کرتی تھیں۔
سینڈرز کا کہنا ہے کہ "یہ ترتیب دینا سیدھا نہیں تھا، اور مائیکروسافٹ نے سیکیورٹی حل فراہم کرنے کے لیے اسے شراکت داروں پر چھوڑ دیا ہے جو ان سیلیکون سیکیورٹی خصوصیات سے فائدہ اٹھاتے ہیں۔"
مائیکروسافٹ کے روسینووچ نے کہا کہ ہارڈ ویئر کے انتظام کے لیے Azure سروسز اور خفیہ کمپیوٹنگ کے لیے کوڈ کی تعیناتی آ رہی ہے۔ ان میں سے بہت سی منظم خدمات خفیہ کنسورشیم فریم ورک پر مبنی ہوں گی، جو کہ خفیہ کمپیوٹنگ کے لیے Microsoft کا تیار کردہ اوپن سورس ماحول ہے۔
"منظم سروس پیش نظارہ کی شکل میں ہے … ہمارے پاس ایسے صارفین ہیں جو اس پر ٹائر مار رہے ہیں،" روسینووچ نے کہا۔
