Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Что такое TEE?
Надежная среда выполнения (TEE) — это сегрегированная область памяти и ЦП, защищенная от остальной части ЦП с помощью шифрования, любые данные в TEE не могут быть прочитаны или изменены любым кодом за пределами этой среды. Данные можно управлять внутри TEE соответствующим авторизованным кодом.
Код, выполняемый внутри TEE, обрабатывается в открытом виде, но виден только в зашифрованной форме, когда все, что находится вне, пытается получить к нему доступ. Эта защита управляется процессором безопасности платформы, внедренным внутри ЦП.
Конфиденциальные вычисления Azure имеют два предложения: одно для рабочих нагрузок с переносом и перемещением, и другое для нагрузок в анклавах для пользовательских приложений.
Предложение по переносу и преобразованию использует AMD SEV-SNP (GA) или Intel TDX (предварительная версия) для шифрования всей памяти виртуальной машины. Это позволяет клиентам переносить существующие рабочие нагрузки в конфиденциальные вычисления Azure без каких-либо изменений кода или снижения производительности и поддерживать как виртуальные машины, так и рабочие нагрузки контейнеров.
Предложение на основе анклава предоставляет возможности ЦП, позволяющие клиентскому коду использовать расширения Intel Software Guard (SGX) для создания защищенной области памяти под названием Зашифрованный защищенный кэш (EPC) на виртуальной машине. Это позволяет клиентам выполнять конфиденциальные рабочие нагрузки с строгой защитой данных и гарантиями конфиденциальности. Конфиденциальные вычисления Azure запустили первую услугу на основе технологии анклавов в 2020 году. Клиентские приложения должны быть специально разработаны для использования этой модели защиты данных.
Обе эти базовые технологии используются для доставки конфиденциальных служб IaaS и PaaS на платформе Azure, что упрощает использование конфиденциальных вычислений в своих решениях.
Новые конструкции GPU также поддерживают возможности TEE и могут безопасно сочетаться с решениями TEE для ЦП, такими как конфиденциальные виртуальные машины, например, предложение от NVIDIA, находящееся в настоящее время в предварительном просмотре, для обеспечения надежности ИИ.
Технические сведения о том, как TEE реализуется в разных аппаратных средствах Azure, доступны следующим образом:
Конфиденциальные виртуальные машины AMD SEV-SNP (https://www.amd.com/en/developer/sev.html)
Виртуальные машины Intel TDX (https://www.intel.com/content/www/us/en/developer/articles/technical/intel-trust-domain-extensions.html)
Оборудование NVIDIA (https://www.nvidia.com/en-gb/data-center/h100/)
Виртуальные машины с поддержкой Intel SGX (https://www.intel.com/content/www/us/en/architecture-and-technology/software-guard-extensions.html)