Поделиться через

Предложения Azure

Предложения конфиденциальных вычислений Azure включают виртуальные машины и контейнеры, службы и дополнительные предложения.

Виртуальные машины и контейнеры

Azure предоставляет самую широкую поддержку защищенных технологий, таких как AMD SEV-SNP, расширения домена Intel Trust (TDX) и расширения Intel Software Guard (SGX). Все технологии соответствуют определению конфиденциальных вычислений, что помогает организациям предотвратить несанкционированный доступ или изменение кода и данных во время использования.

  • Конфиденциальные виртуальные машины, использующие AMD SEV-SNP. DCasv5 и ECasv5 позволяют повторно разместить существующие рабочие нагрузки и помочь защитить данные от облачных операторов с помощью конфиденциальности на уровне виртуальной машины. Конфиденциальные виртуальные машины DCasv6 и ECasv6 на основе процессоров AMD EPYC четвертого поколения в настоящее время находятся в закрытой предварительной версии и обеспечивают улучшенную производительность.
  • Конфиденциальные виртуальные машины, использующие Intel TDX. DCesv5 и ECesv5 позволяют повторно разместить существующие рабочие нагрузки и помочь защитить данные от облачных операторов с помощью конфиденциальности на уровне виртуальной машины.
  • Конфиденциальные виртуальные машины с единицами обработки графики (GPU). Конфиденциальные виртуальные машины NCCadsH100v5 поставляются с GPU и помогают обеспечить безопасность и конфиденциальность данных при повышении задач искусственного интеллекта и машинного обучения. Эти конфиденциальные виртуальные машины используют связанные среды выполнения ЦП и GPU для защиты конфиденциальных данных в ЦП и GPU для ускорения вычислений. Они идеально подходят для организаций, которые должны защищать данные от облачных операторов и использовать высокопроизводительные вычисления.
  • Виртуальные машины с анклавами приложений, которые используют Intel SGX. DCsv2, DCsv3 и DCdsv3 позволяют организациям создавать аппаратные анклава. Эти безопасные анклавы помогают защитить виртуальные машины от облачных операторов и администраторов собственных виртуальных машин организации.
  • Конфиденциальные рабочие узлы службы Azure Kubernetes (AKS), позволяющие повторно размещать контейнеры в кластерах AKS. Рабочие узлы на основе оборудования AMD SEV-SNP помогают защитить данные от облачных операторов с конфиденциальностью уровня рабочего узла и обеспечить гибкость конфигурации AKS.
  • Конфиденциальные контейнеры в экземплярах контейнеров Azure , которые позволяют повторно разместить контейнеры в бессерверных экземплярах контейнеров, работающих на оборудовании AMD SEV-SNP. Конфиденциальные контейнеры поддерживают целостность и аттестацию на уровне контейнера с помощью политик применения конфиденциальных вычислений (CCE). Эти политики предписывают компоненты, которые могут выполняться в контейнерной группе. Система выполнения контейнеров осуществляет контроль политики. Эта политика помогает защитить данные от оператора облака и внутренних субъектов угроз с помощью конфиденциальности на уровне контейнера.
  • Контейнеры с поддержкой анклавов приложений , которые выполняются в AKS. Узлы конфиденциальных вычислений на AKS используют Intel SGX для создания изолированных сред анклавов в узлах между каждым приложением-контейнером.

На схеме показаны номера SKU виртуальных машин, контейнеры и службы данных с поддержкой различных конфиденциальных вычислений.

Конфиденциальные службы

Azure предлагает различные платформы как услуга (PaaS), программное обеспечение как услуга (SaaS) и возможности виртуальных машин, которые поддерживают или основаны на конфиденциальных вычислениях:

  • Конфиденциальное выводение с помощью модели Whisper в Azure OpenAI. Конфиденциальные вычисления Azure обеспечивают безопасность и конфиденциальность данных с помощью TEEs. Она включает зашифрованную защиту запросов, анонимность пользователя и прозрачность с помощью OHTTP и конфиденциальных виртуальных машин GPU.
  • Azure Databricks помогает усилить безопасность и конфиденциальность в Databricks Lakehouse с помощью конфиденциальных виртуальных машин.
  • Виртуальный рабочий стол Azure гарантирует, что виртуальный рабочий стол пользователя зашифрован в памяти, защищен в использовании и поддерживается корнем доверия оборудования.
  • Управляемый HSM в Azure Key Vault полностью управляем и высокодоступен. Используйте эту облачную службу, совместимую со стандартами, для защиты криптографических ключей для облачных приложений с помощью модулей безопасности оборудования (HSM) FIPS 140-2 уровня 3.
  • Аттестация Azure — это служба удаленной аттестации для проверки надежности нескольких доверенных исполняющих сред (TEEs) и верификации целостности двоичных файлов, работающих внутри этих сред.
  • Конфиденциальный реестр Azure — это защищенный от подделок регистр для хранения конфиденциальных данных с целью ведения учета и проведения аудита или для обеспечения прозрачности данных в многопользовательских сценариях. Он предлагает гарантии Запись-Один-РазRead-Many, что делает данные неудаляемыми и неизменяемыми. Эта служба основана на платформе конфиденциального консорциума Microsoft Research.
  • Always Encrypted с безопасными анклавами в SQL Azure. Конфиденциальность конфиденциальных данных защищается от вредоносных программ и несанкционированных пользователей с высоким уровнем привилегий путем выполнения SQL-запросов непосредственно в TEE.

Этот портфель расширяется по требованиям клиентов.

Дополнительные предложения

  • Доверенный запуск доступен во всех виртуальных машинах поколения 2. Она обеспечивает защищенные функции безопасности, такие как безопасная загрузка, модуль виртуальной доверенной платформы и мониторинг целостности загрузки. Эти функции безопасности защищают от загрузочных наборов, корневых пакетов и вредоносных программ на уровне ядра.
  • Интегрированная среда HSM Azure в настоящее время находится в разработке. Интегрированная среда HSM Azure — это выделенный HSM, соответствующий стандартам безопасности FIPS 140-3 уровня 3. Он обеспечивает надежную защиту ключей за счет использования шифрования и подписывания ключей, которые остаются в HSM без задержки сетевого доступа. Интегрированная среда HSM Azure обеспечивает расширенную безопасность с помощью локально развернутых служб HSM. Он позволяет криптографическим ключам оставаться изолированными от гостевого и хост-программного обеспечения. Он поддерживает большие объемы криптографических запросов с минимальной задержкой. Интегрированный модуль HSM Azure будет установлен на каждом новом сервере в центрах обработки данных Майкрософт, начиная с следующего года, чтобы повысить защиту в аппаратном флоте Azure.
  • Управление доверенными аппаратными удостоверениями — это служба, которая обрабатывает управление кэшем сертификатов для всех TEEs, находящихся в Azure. Она предоставляет сведения о доверенных вычислительных базах для обеспечения минимальной базовой базы для решений аттестации.
  • Azure IoT Edge поддерживает конфиденциальные приложения, которые работают в безопасных анклавах на устройствах Интернета вещей (IoT). Устройства Интернета вещей часто подвергаются взлому и подделке, потому что они физически доступны злоумышленникам. Конфиденциальные устройства IoT Edge добавляют доверие и целостность на периферии. Они защищают доступ к данным, собранным и хранящимся внутри самого устройства, перед потоковой передачей в облако.
  • Конфиденциальный вывод ONNX Runtime — это сервер вывода машинного обучения, который ограничивает сторону, осуществляющую размещение машинного обучения, доступом к запросу на вывод и соответствующему ответу.

Новые возможности конфиденциальных вычислений Azure

Связанный контент