微軟釋出Azure機密運算(Confidential Computing)服務預覽版,企業現在能在Azure上,用更安全可信執行環境(Trusted Execution Environments,TEEs)來執行敏感資料操作,微軟提到,或許機密運算目前還是一個特別的功能子集,但是隨著發展將來會成為處理資料的標準。

微軟引用了IDC的研究報告表示,提升安全性是企業選用雲端技術的主要推力,另外,雲端安全聯盟(Cloud Security Alliance,CSA)的雲端威脅報告指出,資料洩露是雲端環境的首要安全威脅。為此Google也釋出了全新機密運算開發框架Asylo,而微軟也在去年9月,發布了Azure機密運算前導計畫,而今終於釋出了預覽版。

微軟已經開始在Azure服務區美東以英特爾的Xeon處理器提供硬體層級的機密運算服務,英特爾SGX技術支援在不同的作業系統中,於計算過程隔離應用程式。Azure用戶可以選擇全新的虛擬機器家族DC系列,這系列將提供支援英特爾SGX技術的新一代Xeon處理器,企業將能在雲端執行支援SGX的應用程式,在TEEs或是稱為內飛地(Enclave)保護程式碼以及資料。

微軟表示,他們也正與合作夥伴密切合作,開發硬體以及軟體層級TEEs一致的Windows和Linux API,讓企業的機密運算應用程式易於移植,另外,微軟也將額外提供機密應用程式的測試工具以及除錯支援。現在企業就能使用SGX SDK還有內飛地API建置C/C++應用程式。

微軟的機密運算虛擬機器提供了企業需要額外安全保護的使用情境,其中包含了3種,第一種、在SQL Server提供全程加密保護,確保資料維持機密以及完整性。第二種則是能以Coco區塊鏈框架(Confidential Consortium Blockchain Framework)創建可信分散式網路,以實現高度可擴展和機密區塊鏈網路。最後一種是能在結合多重資料來源的情況下,提供安全多方機器學習的情境。

除了過程應用機密運算技術保護敏感資料,微軟提到,驗證在TEEs中所執行的應用程式身分,對於是否建立信任並同意存取敏感資料有其必要性。微軟正與晶片供應商與託管認證服務合作,簡化驗證工作並使其達高度可用。

微軟也持續研究以辨識和防範TEEs的漏洞,特別是造成TEEs資料直接或是間接洩漏的缺陷,微軟提到,當Azure機密運算服務正式上市時,工具以及運作方式也會跟著一起釋出,供企業研究開發用。


Advertisement

更多 iThome相關內容