Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Виртуальные машины и контейнеры
Azure обеспечивает самую широкую поддержку защищенных технологий, таких как AMD SEV-SNP, Intel TDX и IntelSGX. Все технологии соответствуют определению конфиденциальных вычислений, помогая организациям предотвратить несанкционированный доступ или изменение кода и данных во время использования.
Конфиденциальные виртуальные машины с помощью AMD SEV-SNP. DCasv5 и ECasv5 обеспечивают перенос существующих рабочих нагрузок и обеспечивают защиту данных от оператора облака с помощью конфиденциальности на уровне виртуальной машины. Конфиденциальные виртуальные машины DCasv6 и ECasv6 на основе процессоров AMD EPYC 4-го поколения в настоящее время находятся в встроенной предварительной версии и обеспечивают улучшенную производительность.
Конфиденциальные виртуальные машины с использованием технологии Intel Trust Domain Extensions (TDX). DCesv5 и ECesv5 обеспечивают перенос существующих рабочих нагрузок и обеспечивают защиту данных от оператора облака с помощью конфиденциальности на уровне виртуальной машины.
Конфиденциальные виртуальные машины с графическими единицами обработки (GPU). Виртуальные машины NCCadsH100v5 с поддержкой GPU обеспечивают безопасность и конфиденциальность данных, улучшая выполнение задач искусственного интеллекта и машинного обучения. Эти CVM используют связанные доверенные среды выполнения на ЦП и GPU для защиты конфиденциальных данных и ускорения вычислений, что делает их идеальными для организаций, которым нужно защищать данные от операторов облака и использовать высокопроизводительные вычисления.
Виртуальные машины с анклавами приложений с помощью Intel SGX. DCsv2, DCsv3 и DCdsv3 позволяют организациям создавать аппаратные анклава. Эти безопасные анклавы помогают защитить от облачных операторов и собственных администраторов виртуальных машин.
Конфиденциальные рабочие узлы AKS на виртуальных машинах обеспечивают возможность миграции контейнеров в кластеры AKS на рабочих узлах, использующих оборудование AMD SEV-SNP, и помогают защитить данные от оператора облака, обеспечивая конфиденциальность на уровне рабочих узлов с гибкостью конфигурирования в службе Azure Kubernetes (AKS).
Конфиденциальные контейнеры в ACI позволяют переносить контейнеры на бессерверную службу экземпляров контейнеров Azure, работающую на оборудовании AMD SEV-SNP. Конфиденциальные контейнеры поддерживают целостность и аттестацию на уровне контейнера с помощью политик применения конфиденциальных вычислений (CCE), которые назначают компоненты, которые могут выполняться в группе контейнеров, которая применяет среду выполнения контейнера. Это помогает защитить данные от оператора облака и субъектов внутренних угроз с помощью конфиденциальности на уровне контейнера.
Контейнеры с поддержкой анклавов приложений, работающие на Служба Azure Kubernetes (AKS). Узлы конфиденциальных вычислений на AKS используют Intel SGX для создания изолированных сред анклавов в узлах между каждым приложением-контейнером.
Конфиденциальные службы
Azure предлагает различные возможности PaaS, SaaS и виртуальных машин, поддерживающие или основанные на конфиденциальных вычислениях, в том числе:
Конфиденциальные выводы с помощью Azure OpenAI Whisper Конфиденциальные вычисления Azure обеспечивают безопасность и конфиденциальность данных с помощью TEEs. Она включает зашифрованную защиту запросов, анонимность пользователя и прозрачность с помощью OHTTP и конфиденциальных виртуальных машин GPU.
Azure Databricks помогает повысить безопасность и повысить конфиденциальность в Databricks Lakehouse с помощью конфиденциальных виртуальных машин.
Виртуальный рабочий стол Azure гарантирует, что виртуальный рабочий стол пользователя шифруется в памяти, защищен в использовании и поддерживается аппаратным корнем доверия.
Управляемое устройство HSM в Azure Key Vault — это соответствующая стандартам и полностью управляемая высокодоступная облачная служба для одного клиента. С ее помощью можно защищать криптографические ключи для облачных приложений, используя аппаратные модули безопасности (HSM), отвечающие стандартам FIPS 140-2 уровня 3.
Аттестация Microsoft Azure— служба удаленной аттестации для проверки надежности нескольких доверенных сред выполнения (TEE) и проверки целостности двоичных файлов, работающих в TEE.
Конфиденциальный реестр Azure. Список управления доступом (ACL) — это защищенный от несанкционированного доступа регистр для хранения конфиденциальных данных, предназначенных для учета и аудита, а также для прозрачности данных в сценариях с несколькими участниками. Он допускает однократную запись и многократное чтение (Write-Once-Read-Many), что делает данные неизменяемыми и нестираемыми. Эта служба основана на инфраструктуре консорциума конфиденциальных вычислений Microsoft Research.
Always Encrypted с безопасными анклавами в SQL Azure. Конфиденциальность конфиденциальных данных защищается от вредоносных программ и несанкционированных пользователей с высоким уровнем привилегий путем выполнения SQL-запросов непосредственно в TEE.
И мы активно работаем над расширением этого портфеля на основе спроса клиентов.
Дополнительные предложения
Доверенный запуск доступен на всех виртуальных машинах 2-го поколения, которые включают в себя защищенные функции безопасности — безопасную загрузку, доверенный платформенный модуль и мониторинг целостности загрузки — которые защищают от загрузочных комплектов, руткитов и вредоносных программ на уровне ядра.
Интегрированная среда HSM Azure в настоящее время разрабатывается. Интегрированная среда HSM Azure — это выделенный аппаратный модуль безопасности, предназначенный для соответствия стандартам безопасности FIPS 140-3 уровня 3, обеспечивая надежную защиту ключей, позволяя шифрованию и подписывание ключей оставаться в HSM без задержки доступа к сети. Она обеспечивает расширенную безопасность с локально развернутыми службами HSM, что позволяет криптографическим ключам оставаться изолированными от программного обеспечения, включая программное обеспечение гостевой и хост-системы, и поддерживает большие объемы криптографических запросов с минимальной задержкой. Интегрированный модуль HSM Azure будет установлен на каждом новом сервере в центрах обработки данных Майкрософт, начиная с следующего года, чтобы повысить защиту в аппаратном флоте Azure.
Управление доверенными аппаратными удостоверениями — служба, которая управляет кэшем сертификатов для всех TEEs, находящихся в Azure, и предоставляет сведения о доверенной вычислительной базе (TCB) для обеспечения минимальной базы для решений аттестации.
Azure IoT Edge поддерживает конфиденциальные приложения, которые работают в безопасных анклавах на устройствах Интернета вещей (IoT). Устройства Интернета вещей часто подвергаются взлому и подделке, потому что они физически доступны злоумышленникам. Конфиденциальные устройства IoT Edge повышают доверие и целостность на границе, защищая доступ к данным, которые собираются и хранятся внутри самого устройства, перед потоковой передачей их в облако.
Среда выполнения ONNX для конфиденциального вывода, сервер логических выводов машинного обучения (ML), который запрещает субъекту размещения ML доступ как к запросу на логический вывод, так и к его соответствующему ответу.