微软正在 Azure 中部署负责数据保护的硬件,以帮助客户对在云环境中与授权方共享数据充满信心。 该公司本周在其 Ignite 2022 会议上发布了一系列硬件安全公告,以突出 Azure 的机密计算产品。
机密计算 涉及创建可信执行环境 (TEE),本质上是一个保存加密数据的黑匣子。 在称为证明的过程中,授权方可以将代码放入盒子中以解密和访问信息,而无需首先将数据移出受保护的空间。 受硬件保护的飞地创建了一个值得信赖的环境,在该环境中数据是防篡改的,即使是那些可以物理访问服务器、管理程序甚至应用程序的人也无法访问数据。
“这确实是一种终极的数据保护,”Microsoft Azure 的首席技术官 Mark Russinovich 在 Ignite 上说。
搭载 AMD 的 Epyc
微软的几款新品 硬件安全层 利用 Epyc 中包含的片上功能 — 部署在 Azure 上的 Advanced Micro Devices 的服务器处理器。
其中一项功能是 SEV-SNP,它在 CPU 中加密 AI 数据。 机器学习应用程序在 CPU、加速器、内存和存储之间连续移动数据。 AMD 的 SEV-SNP 确保 CPU环境内的数据安全,同时在执行周期中锁定对该信息的访问。
AMD 的 SEV-SNP 功能填补了一个关键空白,因此数据在所有层上都是安全的,同时驻留在硬件中或在硬件中移动。 其他芯片制造商主要专注于在存储和通信网络传输时加密数据,但 AMD 的功能是在 CPU 中处理数据时保护数据。
这提供了多重好处,公司将能够将专有数据与驻留在 Azure 上其他安全飞地中的第三方数据集混合。 SEV-SNP 功能使用证明来确保传入数据的准确形式来自 信赖方 并且可以信赖。
微软 Azure 的首席产品经理 Amar Gowda 在 Ignite 网络广播中表示:“这实现了以前不可能实现的全新场景和机密计算。”
例如,银行将能够共享机密数据,而不必担心任何人窃取它。 SEV-SNP 功能会将加密的银行数据带入安全的第三方飞地,在那里它可以与来自其他来源的数据集混合。
“由于这种证明、内存保护和完整性保护,您可以放心,数据不会离开边界,落入坏人之手。 整件事是关于如何在这个平台上启用新产品,”Gowda 说。
虚拟机上的硬件安全
微软还为云原生工作负载增加了额外的安全性,使用 SEV-SNP 生成的不可导出的加密密钥非常适合数据是瞬态且不保留的 enclave,James Sanders,云、基础设施和量子首席分析师CCS Insight 在与 Dark Reading 的对话中说。
“对于 Azure 虚拟桌面,SEV-SNP 为虚拟桌面用例增加了额外的安全层,包括自带设备工作场所、远程工作和图形密集型应用程序,”Sanders 说。
由于与数据隐私和安全相关的法规和合规性限制,一些工作负载尚未迁移到云端。 微软首席项目经理蔡润在会议期间表示,硬件安全层将允许公司在不影响其安全状况的情况下迁移此类工作负载。
微软还宣布,带有机密 VM 的 Azure 虚拟桌面处于公开预览阶段,它将能够在机密 VM 上运行 Windows 11 认证。
“您可以使用安全远程访问 Windows Hello 并且还可以安全地访问机密虚拟机中的 Microsoft Office 365 应用程序,”蔡说。
CCS Insight 的 Sanders 表示,从今年早些时候开始,微软一直在尝试在通用 VM 中使用 AMD 的 SEV-SNP,这是一个良好的开端。
采用 SEV-SNP 也是 AMD 在数据中心和云客户中的重要验证,因为之前在机密计算方面的努力依赖于部分安全飞地,而不是保护整个主机系统。
“这并不容易配置,微软让合作伙伴提供利用硅内安全功能的安全解决方案,”Sanders 说。
微软的 Russinovich 表示,用于管理硬件和部署机密计算代码的 Azure 服务即将推出。 其中许多托管服务将基于机密联盟框架,这是微软开发的用于机密计算的开源环境。
“托管服务处于预览阶段……我们的客户对此非常感兴趣,”Russinovich 说。
