Microsoft paneb Azure'i andmekaitse eest vastutava riistvara, et aidata klientidel end pilvekeskkonnas volitatud osapooltega andmete jagamisel kindlalt tunda. Ettevõte tegi sel nädalal oma Ignite 2022 konverentsil riistvaraturbe teadaandeid, et rõhutada Azure'i konfidentsiaalseid andmetöötluse pakkumisi.
Konfidentsiaalne andmetöötlus hõlmab usaldusväärse täitmiskeskkonna (TEE) loomist, mis on sisuliselt must kast krüptitud andmete hoidmiseks. Protsessis, mida nimetatakse atesteerimiseks, saavad volitatud osapooled asetada koodi kasti, et dekrüpteerida ja teabele juurde pääseda, ilma et nad peaksid andmeid kaitstud ruumist välja viima. Riistvaraga kaitstud enklaav loob usaldusväärse keskkonna, kus andmed on võltsimiskindlad ja andmetele ei pääse ligi isegi need, kellel on füüsiline juurdepääs serverile, hüperviisorile või isegi rakendusele.
"See on tõesti ülim andmekaitse," ütles Microsoft Azure'i tehnoloogiajuht Mark Russinovitš Ignite'is.
Pardal koos AMD Epyciga
Mitmed Microsofti uued riistvara turvakihid kasutage Epyci – Azure’is juurutatud Advanced Micro Devices’i serveriprotsessori – sisalduvaid kiibi funktsioone.
Üks selline funktsioon on SEV-SNP, mis krüpteerib protsessoris AI-andmed. Masinõpperakendused liigutavad andmeid pidevalt protsessori, kiirendite, mälu ja salvestusruumi vahel. AMD SEV-SNP tagab andmeturve protsessori keskkonnas, lukustades samal ajal juurdepääsu sellele teabele, kui see läbib täitmistsükli.
AMD SEV-SNP funktsioon täidab kriitilise tühimiku, nii et andmed on riistvaras viibimise või liikumise ajal turvaliselt kõigil kihtidel. Teised kiibitootjad on suures osas keskendunud andmete krüpteerimisele salvestusel ja sidevõrkudes edastamisel, kuid AMD-l on andmete turvalisus protsessoris töötlemise ajal.
See pakub mitmeid eeliseid ja ettevõtted saavad kombineerida patenteeritud andmeid kolmandate osapoolte andmekogumitega, mis asuvad Azure'i teistes turvalistes enklaavides. SEV-SNP funktsioonid kasutavad kinnitust tagamaks, et sissetulevad andmed on täpsel kujul alates a tuginev pool ja seda saab usaldada.
"See võimaldab uusi stsenaariume ja konfidentsiaalset andmetöötlust, mis varem polnud võimalik," ütles Microsoft Azure'i peamine tootejuht Amar Gowda Ignite'i veebiülekande ajal.
Näiteks saavad pangad jagada konfidentsiaalseid andmeid, kartmata, et keegi neid varastab. SEV-SNP funktsioon toob krüptitud pangaandmed turvalisse kolmanda osapoole enklaavi, kus need võivad seguneda muudest allikatest pärit andmekogumitega.
„Selle kinnituse ning mälu- ja terviklikkuse kaitse tõttu võite olla kindel, et andmed ei jäta piire valedesse kätesse. Kogu asi seisneb selles, kuidas saate selle platvormi peal uusi pakkumisi lubada, ”ütles Gowda.
Riistvara turvalisus virtuaalmasinates
Microsoft lisas ka täiendava turvalisuse pilvepõhiste töökoormuste jaoks ning SEV-SNP abil genereeritud mitteeksporditavad krüpteerimisvõtmed sobivad loogiliselt enklaavide jaoks, kus andmed on mööduvad ja neid ei säilitata, ütles James Sanders, pilve, infrastruktuuri ja kvantide analüütik CCS Insight, ütleb vestluses Dark Readingiga.
„Azure Virtual Desktopi jaoks lisab SEV-SNP täiendava turvakihi virtuaalse töölaua kasutusjuhtumite jaoks, sealhulgas töökohtade toomine oma seadmesse, kaugtöö ja graafikamahukad rakendused,” ütleb Sanders.
Andmete privaatsuse ja turvalisusega seotud regulatsiooni- ja vastavuspiirangute tõttu ei ole mõned töökoormused pilve üle viidud. Riistvara turbekihid võimaldavad ettevõtetel selliseid töökoormusi üle viia, ilma et see kahjustaks nende turvalisust, ütles Microsofti peamine programmijuht Run Cai konverentsi ajal.
Microsoft teatas ka, et konfidentsiaalse VM-iga Azure'i virtuaalne töölaud on avalikus eelvaates, mis suudab käitada Windows 11 atesteerimist konfidentsiaalsetes VM-ides.
"Saate kasutada turvalist kaugjuurdepääsu koos Windows Hello ja ka turvaline juurdepääs Microsoft Office 365 rakendustele konfidentsiaalsetes VM-ides,” ütles Cai.
Microsoft on selle aasta algusest peale tegelenud AMD SEV-SNP kasutamisega üldotstarbelistes VM-ides, mis oli hea algus, ütleb CCS Insighti Sanders.
SEV-SNP kasutuselevõtt on ka AMD jaoks oluline valideerimine andmekeskuste ja pilve klientide seas, kuna varasemad jõupingutused konfidentsiaalse andmetöötluse osas põhinesid pigem osalistel turvalistel enklaavidel, mitte kogu hostsüsteemi kaitsmisel.
"Seda ei olnud lihtne konfigureerida ja Microsoft jättis partnerite ülesandeks pakkuda turbelahendusi, mis kasutasid ränisiseseid turbefunktsioone," ütleb Sanders.
Microsofti Russinovitš ütles, et tulemas on Azure'i teenused riistvara haldamiseks ja koodi juurutamiseks konfidentsiaalseks andmetöötluseks. Paljud neist hallatavatest teenustest põhinevad Confidential Consortium Frameworkil, mis on Microsofti välja töötatud avatud lähtekoodiga keskkond konfidentsiaalseks andmetöötluseks.
"Hallatud teenus on eelvaate kujul... meil on kliente, kes löövad selle rehve," ütles Russinovitš.
