微軟發布了最新機密運算用Azure虛擬機器DCsv3和DCdsv3,官方提到,DC系列的虛擬機器,使用英特爾SGX(Software Guard Extensions)技術,能夠創建安全區,在CPU處理資料的同時,透過維持記憶體加密和隔離來保護資料,使得資料免於意外暴露給作業系統、權限升級的管理程序,甚至是Azure操作人員。

由於使用第三代英特爾Xeon可擴展處理器,使得DC系列的虛擬機器功能獲得明顯提升,不只英特爾SGX的安全區頁面快取(EPC)容量增加為1,500倍,能夠支援更大的工作負載,一般記憶體也增加至12倍,並且有多達48個CPU核心,能在執行機密運算的同時,維持記憶體密集工作負載的效能。

DC系列虛擬機器採用英特爾SGX技術,因此可以在粒度安全控制中,提供應用程式層級的隔離,但微軟提到,因為用戶希望能夠使用虛擬機器層級的保護和加密,以便將現有的虛擬機器,直接轉移到更安全的基礎設施。

因此在最新的DCsv3和DCdsv3虛擬機器,還使用了英特爾全記憶體加密(Total Memory Encryption)技術,使得用戶可以在同一個節點中,全程啟用加密功能。因此結合SGX和全記憶體加密兩項功能,用戶可以在應用程式安全區中使用機密運算,並且在虛擬機器中的軟體,也能獲得額外的保護。

新的機密運算虛擬機器還支援Azure證明(Attestation),Azure證明是一個驗證程序,可以確保軟體二進位檔案在可信硬體平臺中執行,第三代英特爾Xeon可擴展處理器支援ECDSA證明,能夠遠端驗證SGX安全區身份,而Azure證明支援ECDSA。

另外,微軟將要以SGX擴充套件的方式,讓AKS也能支援機密運算,官方提到,這個擴展能明顯提升機密容器的記憶體密集工作負載效能,像是資料分析、機器學習訓練和推理等

目前DCsv3和DCdsv3虛擬機器會先在East US 2和Central US地區提供,並在接下來數個月內,在預覽結束提供正式版本時,擴展到更多的資料中心。


熱門新聞

Advertisement