Microsoft đang đặt phần cứng chịu trách nhiệm bảo vệ dữ liệu trong Azure để giúp khách hàng yên tâm chia sẻ dữ liệu với các bên được ủy quyền trong môi trường đám mây. Công ty đã đưa ra một loạt các thông báo về bảo mật phần cứng tại hội nghị Ignite 2022 trong tuần này để làm nổi bật các dịch vụ máy tính bí mật của Azure.
Máy tính bí mật liên quan đến việc tạo Môi trường thực thi tin cậy (TEE), về cơ bản là một hộp đen để chứa dữ liệu được mã hóa. Trong một quá trình được gọi là chứng thực, các bên được ủy quyền có thể đặt mã bên trong hộp để giải mã và truy cập thông tin mà trước tiên không cần phải di chuyển dữ liệu ra khỏi không gian được bảo vệ. Vùng mã hóa được bảo vệ bằng phần cứng tạo ra một môi trường đáng tin cậy trong đó dữ liệu được chống giả mạo và dữ liệu không thể truy cập được ngay cả những người có quyền truy cập vật lý vào máy chủ, trình siêu giám sát hoặc thậm chí là một ứng dụng.
Mark Russinovich, giám đốc công nghệ của Microsoft Azure, cho biết tại Ignite: “Nó thực sự là loại bảo vệ dữ liệu tối ưu nhất.
Trên tàu với Epyc của AMD
Một số tính năng mới của Microsoft các lớp bảo mật phần cứng tận dụng các tính năng trên chip có trong Epyc - bộ xử lý máy chủ từ Advanced Micro Devices được triển khai trên Azure.
Một trong những tính năng đó là SEV-SNP, mã hóa dữ liệu AI khi ở trong CPU. Các ứng dụng học máy di chuyển dữ liệu liên tục giữa CPU, bộ tăng tốc, bộ nhớ và bộ lưu trữ. SEV-SNP của AMD đảm bảo bảo mật dữ liệu bên trong môi trường CPU, đồng thời khóa quyền truy cập vào thông tin đó khi nó đi qua chu kỳ thực thi.
Tính năng SEV-SNP của AMD thu hẹp một lỗ hổng quan trọng để dữ liệu được bảo mật ở tất cả các lớp khi cư trú hoặc di chuyển trong phần cứng. Các nhà sản xuất chip khác chủ yếu tập trung vào việc mã hóa dữ liệu khi lưu trữ và truyền trên mạng truyền thông, nhưng các tính năng của AMD bảo mật dữ liệu khi được xử lý trong CPU.
Điều đó mang lại nhiều lợi ích và các công ty sẽ có thể kết hợp dữ liệu độc quyền với bộ dữ liệu của bên thứ ba nằm trong các vùng bảo mật khác trên Azure. Các tính năng SEV-SNP sử dụng chứng thực để đảm bảo dữ liệu đến ở dạng chính xác từ một bên dựa vào và có thể được tin cậy.
Amar Gowda, giám đốc sản phẩm chính tại Microsoft Azure, cho biết: “Điều này cho phép các kịch bản hoàn toàn mới và tính toán bí mật mà trước đây không thể thực hiện được”.
Ví dụ, các ngân hàng sẽ có thể chia sẻ dữ liệu bí mật mà không sợ bất kỳ ai đánh cắp nó. Tính năng SEV-SNP sẽ đưa dữ liệu ngân hàng được mã hóa vào vùng bảo mật của bên thứ ba, nơi nó có thể kết hợp với các tập dữ liệu từ các nguồn khác.
“Bởi vì chứng thực này và bảo vệ bộ nhớ và bảo vệ tính toàn vẹn, bạn có thể yên tâm rằng dữ liệu không để lại ranh giới trong tay kẻ xấu. Toàn bộ vấn đề là về cách bạn kích hoạt các dịch vụ mới trên nền tảng này, ”Gowda nói.
Bảo mật phần cứng trên máy ảo
Microsoft cũng đã bổ sung bảo mật bổ sung cho khối lượng công việc gốc trên đám mây và các khóa mã hóa không thể xuất được tạo bằng SEV-SNP là sự phù hợp hợp lý cho các vùng chứa dữ liệu tạm thời và không được lưu giữ, James Sanders, nhà phân tích chính về đám mây, cơ sở hạ tầng và lượng tử tại CCS Insight, cho biết trong một cuộc trò chuyện với Dark Reading.
Sanders cho biết: “Đối với Azure Virtual Desktop, SEV-SNP bổ sung thêm một lớp bảo mật cho các trường hợp sử dụng máy tính ảo, bao gồm cả nơi làm việc mang theo thiết bị của riêng bạn, làm việc từ xa và các ứng dụng đồ họa chuyên sâu.
Một số khối lượng công việc chưa được chuyển sang đám mây do các giới hạn về quy định và tuân thủ liên quan đến quyền riêng tư và bảo mật dữ liệu. Các lớp bảo mật phần cứng sẽ cho phép các công ty di chuyển khối lượng công việc như vậy mà không ảnh hưởng đến tình trạng bảo mật của họ, Run Cai, giám đốc chương trình chính của Microsoft, cho biết trong hội nghị.
Microsoft cũng thông báo rằng máy tính để bàn ảo Azure với máy ảo bí mật đã được xem trước công khai, có thể chạy chứng thực Windows 11 trên máy ảo bí mật.
“Bạn có thể sử dụng quyền truy cập từ xa an toàn với Windows Hello và cũng có thể truy cập an toàn vào các ứng dụng Microsoft Office 365 trong các máy ảo bí mật, ”Cai nói.
Microsoft đã bắt đầu sử dụng SEV-SNP của AMD trong các máy ảo đa năng từ đầu năm nay, đó là một khởi đầu tốt, Sanders của CCS Insight cho biết.
Việc áp dụng SEV-SNP cũng là xác nhận quan trọng đối với AMD giữa các khách hàng trung tâm dữ liệu và đám mây, vì những nỗ lực trước đây về tính toán bí mật dựa vào các vùng bảo mật một phần thay vì bảo vệ toàn bộ hệ thống máy chủ.
Sanders nói: “Điều này không đơn giản để cấu hình và Microsoft đã giao nó cho các đối tác để cung cấp các giải pháp bảo mật tận dụng các tính năng bảo mật trong silicon,” Sanders nói.
Russinovich của Microsoft nói rằng các dịch vụ Azure để quản lý phần cứng và triển khai mã cho máy tính bí mật sắp ra mắt. Nhiều dịch vụ được quản lý đó sẽ dựa trên Khuôn khổ Liên minh bí mật, là một môi trường nguồn mở do Microsoft phát triển dành cho tính toán bí mật.
“Dịch vụ được quản lý đang ở dạng xem trước… chúng tôi có những khách hàng đang thích thú với nó,” Russinovich nói.
