在英特爾(Intel)發表最新的第4代Xeon Scalable處理器的同時,微軟也宣布將更新自家機密運算雲端服務,預計在今年稍晚的時候,就會藉由使用第4代Xeon Scalable處理器的TDX(Trusted Domain Extensions)技術,推出新的機密運算執行個體,供受高度監管的產業能夠運用更具彈性的機密運算功能,在雲端處理敏感工作負載。
英特爾在2013年所推出的軟體防護指令集(Software Guard Extensions,SGX),供用戶運用應用程式層級的隔離,在本地資料中心、公有雲甚至是邊緣環境使用機密運算,最大程度縮小攻擊面。英特爾在2021年所發布的第3代Xeon Scalable處理器全面支援SGX,而微軟也使用該處理器推出機密運算Azure虛擬機器DCsv3。
Azure機密運算虛擬機器藉由SGX安全技術創建安全區,在CPU處理資料的同時維持記憶體加密和隔離性,進一步保護敏感資料,避免這些資料暴露於作業系統、高權限管理程式甚至是Azure作業人員。
而英特爾新的虛擬機器隔離技術TDX,適合用戶將現有應用程式,直接移植到機密環境中。TDX引入新的架構元素,能夠部署稱為受信任區域的硬體隔離虛擬機器,TDX的目標是要分離虛擬機器、虛擬機器管理程式,還有平臺上非受信任區域的軟體,以保護受信任區域免受其他軟體的影響。
過去微軟是第一家運用帶有英特爾SGX的第3代Xeon Scalable處理器,提供機密運算服務,官方提到,微軟與英特爾都是機密運算聯盟(Confidential Computing Consortium)的成員,共同貢獻多項機密運算開源專案,而微軟也會繼續在Azure中運用TDX技術,提供進階機密運算服務,擴展雙方在機密運算的合作。
TDX能夠用於舉證(Attestation)整個虛擬機器和容器的安全性,每一個虛擬機器和容器都有唯一硬體金鑰保護記憶體。微軟提到,舉證是機密運算的重要概念,使用戶能夠在任何程式碼存取和處理資料之前,先驗證第三方硬體的信任根和軟體堆疊。藉由使用TDX,微軟Azure Attestation將會成為標準功能,擴展用戶舉證能力。
微軟解釋,DCsv3虛擬機器使用SGX提供的應用程式隔離,以最小信任邊界保護應用程式運作,微軟透過在產品組合加入TDX技術,便可以在虛擬機器、容器或是應用程式層級提供隔離。如此微軟能夠提供更靈活的機密運算服務,而且透過在Azure上提供英特爾的機密運算解決方案,能夠滿足用戶在資料主權和法規遵守的需求,使得Azure雲端作業員無法讀取,甚至是更改用戶在記憶體中的資料,以進一步強化Azure上的安全可信度。
熱門新聞
2024-04-17
2024-04-17
2024-04-18
2024-04-15
2024-04-15
2024-04-15