Поделиться через

Варианты использования конфиденциальных вычислений

При использовании технологий конфиденциальных вычислений можно ужесточить виртуализированную среду от узла, гипервизора, администратора узла и даже администратора виртуальной машины. В зависимости от модели угроз можно использовать различные технологии для:

  • Запретить несанкционированный доступ. Запустите конфиденциальные данные в облаке. Вы можете быть уверены, что Azure обеспечит наилучшую возможную защиту данных, не требуя существенно изменять рабочие процессы.
  • Соответствуйте нормативным требованиям. Миграция в облако и обеспечение полного контроля над данными для удовлетворения нормативных требований правительства по защите персональных данных и безопасному IP-адресу организации.
  • Обеспечение безопасной и недоверенной совместной работы. Решение проблем, связанных с масштабами работы в отрасли, путем объединения данных между организациями, включая даже конкурентов, для обеспечения доступа к широким возможностям аналитики данных и получения более глубокого понимания.
  • Изолируйте обработку. Предлагайте новую волну продуктов, которые снижают ответственность за частные данные с помощью закрытой обработки. Поставщик услуг не может получить пользовательские данные.

Сценарии конфиденциальных вычислений

Конфиденциальные вычисления могут применяться к различным сценариям защиты данных в регулируемых отраслях, таких как правительство, финансовые услуги и институты здравоохранения.

Например, запрет доступа к конфиденциальным данным помогает защитить цифровое удостоверение граждан от всех сторон, включая поставщика облачных служб, который хранит его. Те же конфиденциальные данные могут содержать биометрические данные, используемые для поиска и удаления известных изображений детской эксплуатации, предотвращения торговли людьми и помощи в расследовании цифровой судебной экспертизы.

Снимок экрана: варианты использования конфиденциальных вычислений Azure, в том числе для государственных организаций, финансовых служб и сценариев здравоохранения.

В этой статье представлен обзор нескольких распространенных сценариев. Рекомендации в этой статье служат отправной точкой при разработке приложения с помощью служб конфиденциальных вычислений и платформ.

После прочтения этой статьи вы можете ответить на следующие вопросы:

  • Какие сценарии существуют для конфиденциальных вычислений в Azure?
  • Каковы преимущества использования конфиденциальных вычислений Azure для сценариев с несколькими частями, улучшенной конфиденциальности данных клиентов и блокчейн-сетей?

Безопасное многопартийное вычисление

Для бизнес-транзакций и совместной работы с проектами требуется общий доступ к информации между несколькими сторонами. Часто данные, которые передаются, являются конфиденциальными. Эти данные могут быть персональными данными, финансовыми записями, медицинскими записями или данными частного гражданина.

Общедоступные и частные организации требуют, чтобы их данные были защищены от несанкционированного доступа. Иногда эти организации также хотят защитить данные от операторов вычислительной инфраструктуры или инженеров, архитекторов безопасности, бизнес-консультантов и специалистов по обработке и анализу данных.

Например, использование машинного обучения для медицинских служб значительно возросло благодаря доступу к большим наборам данных и изображениям пациентов, захваченных медицинскими устройствами. Диагностика заболеваний и развитие наркотиков пользуются несколькими источниками данных. Больницы и медицинские учреждения могут сотрудничать, делясь записями своих пациентов с централизованной доверенной средой исполнения (TEE).

Службы машинного обучения, которые выполняются в агрегате TEE и анализируют данные. Этот агрегированный анализ данных может обеспечить более высокую точность прогнозирования из-за моделей обучения, основанных на объединенных наборах данных. С конфиденциальными вычислениями больницы могут свести к минимуму риск компрометации конфиденциальности своих пациентов.

Конфиденциальные вычисления в Azure позволяют обрабатывать данные из нескольких источников, не раскрывая входные данные другим сторонам. Этот тип безопасных вычислений позволяет реализовать такие сценарии, как противодействие отмыванию денег, обнаружение мошенничества и безопасный анализ медицинских данных.

Несколько источников могут передавать данные в один анклав на виртуальной машине. Одна сторона отправляет анклаву команду выполнить вычисление или обработку данных. Ни одна из сторон (даже та, которая проводит анализ) не может видеть данные другой стороны, которые были отправлены в анклав.

В безопасных многопартийных вычислениях зашифрованные данные попадают в анклав. Энклав расшифровывает данные с помощью ключа, проводит анализ, получает результат и отправляет обратно зашифрованный результат, который сторона может расшифровать с помощью указанного ключа.

Борьба с отмыванием денег

В этом безопасном многопартийном вычислении несколько банков совместно используют данные друг с другом без предоставления персональных данных своих клиентов. Банки выполняют согласованную аналитику по объединенному набору конфиденциальных данных. Аналитика в агрегированном наборе данных может обнаруживать перемещение денег одним пользователем между несколькими банками без доступа к данным друг друга.

С помощью конфиденциальных вычислений эти финансовые учреждения могут увеличить частоту обнаружения мошенничества, устранить сценарии отмывания денег, уменьшить ложные положительные показатели и продолжить обучение из более крупных наборов данных.

График, демонстрирующий совместное использование данных несколькими сторонами в банках и перемещение данных, обеспечиваемое конфиденциальными вычислениями.

Разработка медикаментов в сфере здравоохранения

Партнерские медицинские учреждения вносят частные наборы данных для обучения модели машинного обучения. Каждое учреждение может видеть только собственный набор данных. Ни один другой объект или даже поставщик облачных служб не может видеть модель данных или обучения. Все учреждения получат пользу от применения обученной модели. При создании модели с большими данными модель становится более точной. Каждое учреждение, которое способствует обучению модели, может использовать ее и получать полезные результаты.

Схема, отображающая сценарии в сфере конфиденциального здравоохранения, демонстрирующая аттестацию между сценариями.

Защита конфиденциальности с помощью технологий Интернета вещей и умных зданий

Многие страны или регионы имеют строгие законы о конфиденциальности о сборе и использовании данных о присутствии и перемещениях людей внутри зданий. Эти данные могут включать сведения, являющиеся персонально идентифицируемыми данными из системы видеонаблюдения (CCTV) или сканирования пропусков безопасности. Или это может быть косвенно идентифицируемым, но при группировке с различными наборами данных датчика оно может считаться лично идентифицируемым.

Конфиденциальность должна быть сбалансирована с затратами и экологическими потребностями в сценариях, когда организации хотят понять заполненность или движение, чтобы обеспечить наиболее эффективное использование энергии для тепла и освещения здания.

Определение областей корпоративной недвижимости, которые недозаняты или переполнены сотрудниками отдельных отделов, как правило, требует обработки некоторых персональных данных вместе с менее персонифицированными данными, такими как датчики температуры и света.

В этом сценарии основной цель состоит в том, чтобы разрешить анализ данных о заполнении и данных с температурных датчиков, которые будут обрабатываться наряду с датчиками движения CCTV и данными о проходе через карточки, чтобы понять использование пространства без выдачи необработанных агрегированных данных кому-либо.

Конфиденциальные вычисления используются здесь путем размещения приложения анализа в TEE, где данные, используемые в использовании, защищены шифрованием. В этом примере приложение работает на защищённых контейнерах в среде контейнеров Azure.

Агрегированные наборы данных из различных типов датчиков и источников данных управляются в базе данных SQL Azure с функцией Always Encrypted с безопасным анклавом. Эта функция защищает используемые запросы путем шифрования их в памяти. Администратор сервера не может получить доступ к статистическому набору данных во время запроса и анализа.

Схема с различными датчиками, которые питают решение для анализа в TEE. Операторы не имеют доступа к используемым данным внутри TEE.

Юридические или нормативные требования обычно применяются к финансово-кредитным учреждениям (ФКУ) и сфере здравоохранения, чтобы ограничить, где некоторые рабочие нагрузки обрабатываются и хранятся в покое.

В этом случае технологии конфиденциальных вычислений Azure используются с политикой Azure, группами безопасности сети (NSG) и условным доступом Microsoft Entra, чтобы обеспечить выполнение следующих целей защиты для повторного размещения существующего приложения:

  • Приложение защищено от оператора облака при использовании с помощью конфиденциальных вычислений.
  • Ресурсы приложения развертываются только в регионе "Западная Европа Azure".
  • Потребители приложения, проверяющие подлинность с помощью современных протоколов проверки подлинности, сопоставляются с суверенным регионом, из которого они подключаются. Доступ запрещен, если они не в разрешенном регионе.
  • Доступ с помощью административных протоколов (например, протокола удаленного рабочего стола и протокола Secure Shell) ограничен доступом из Бастиона Azure, который интегрирован с привилегированным управлением удостоверениями (PIM). Для политики PIM требуется политика условного доступа Microsoft Entra, которая проверяет суверенный регион, из которого администратор обращается.
  • Все службы записывают действия в Azure Monitor.

Схема, показывающая рабочие нагрузки, защищенные конфиденциальными вычислениями Azure и дополненная конфигурацией Azure, включая политику Azure и условный доступ Microsoft Entra.

Производство: защита IP-адресов

Производственные организации защищают IP-адрес вокруг производственных процессов и технологий. Часто производство передается на аутсорсинг сторонним компаниям, которые занимаются физическими производственными процессами. Эти компании могут считаться враждебными средами, где существуют активные угрозы кражи этого IP-адреса.

В этом примере Tailspin Toys разрабатывает новую линию игрушки. Конкретные размеры и инновационные конструкции этих игрушек являются собственностью. Компания хочет обеспечить безопасность проектов, но также быть гибкой в отношении того, какую компанию она выбирает для осуществления физического производства своих прототипов.

Contoso, компания по высококачественной 3D-печати и тестированию, предоставляет системы, которые физически печатают прототипы в большом масштабе и проводят их через тесты безопасности, требуемые для получения одобрений на безопасность.

Компания Contoso развертывает контейнерные приложения и данные, управляемые клиентом, в клиенте Contoso, которая использует свой трехмерный механизм печати с помощью API типа Интернета вещей.

Компания Contoso использует данные телеметрии из физических производственных систем для управления выставлением счетов, планированием и системами заказа материалов. Tailspin Toys использует телеметрию из своего набора приложений, чтобы определить, насколько успешно её игрушки могут быть изготовлены и уровень дефектности.

Операторы Contoso могут загрузить набор приложений Tailspin Toys в клиент Contoso с помощью образов контейнеров, предоставляемых через Интернет.

Политика конфигурации Tailspin Toys требует развертывания на оборудовании с поддержкой конфиденциальных вычислений. В результате все серверы приложений и базы данных Tailspin Toys защищены от администраторов Contoso во время эксплуатации, даже при условии, что они работают в арендаторе Contoso.

Например, нечестный администратор в Contoso может попытаться переместить контейнеры, предоставленные Tailspin Toys, на общее вычислительное оборудование x86, которое не может предоставить TEE. Это поведение может означать потенциальное раскрытие конфиденциальной интеллектуальной собственности.

В этом случае подсистема политики экземпляра контейнеров Azure отказывается освободить ключи расшифровки или запустить контейнеры, если вызов аттестации показывает, что требования к политике не могут быть выполнены. Интеллектуальная собственность Tailspin Toys защищена как в активном, так и в неактивном состоянии.

Само приложение Tailspin Toys запрограммировано на периодические вызовы службы аттестации и отправку результатов обратно в Tailspin Toys через Интернет, чтобы обеспечивать постоянный сигнал о состоянии безопасности.

Служба аттестации возвращает криптографически подписанные данные из оборудования, поддерживающего арендатора Contoso, чтобы проверить, работает ли рабочая нагрузка внутри конфиденциального анклава в соответствии с ожиданиями. Аттестация находится вне контроля администраторов Contoso и основана на аппаратной основе доверия, обеспечиваемой конфиденциальными вычислениями.

Схема, на которой показан поставщик услуг, запускающий промышленный набор для управления от производителя игрушек внутри доверенной исполнительной среды (TEE).

Повышенный уровень конфиденциальности данных клиентов

Несмотря на то, что уровень безопасности, предоставляемый Azure, быстро становится одним из главных драйверов внедрения облачных вычислений, клиенты доверяют своим поставщикам в разных масштабах. Клиенты просят:

  • Минимальные аппаратные, программные и операционные доверенные вычислительные базы (TCB) для конфиденциальных рабочих нагрузок.
  • Обеспечение технических мер, а не только бизнес-политик и процессов.
  • Прозрачность сведений о гарантиях, остаточных рисках и их смягчении.

Конфиденциальные вычисления позволяют клиентам постепенно контролировать TCB, который используется для запуска облачных рабочих нагрузок. Клиенты могут точно определить все оборудование и программное обеспечение, имеющие доступ к рабочим нагрузкам (данным и коду). Конфиденциальные вычисления Azure предоставляют технические механизмы для проверки этой гарантии. То есть клиенты сохраняют полный контроль над своими секретами.

Независимость данных

В государственных и государственных учреждениях конфиденциальные вычисления Azure повышают степень доверия к способности решения защищать суверенитет данных в общедоступном облаке. Благодаря увеличению внедрения возможностей конфиденциальных вычислений в службы PaaS в Azure более высокий уровень доверия достигается с уменьшением влияния на инновационные возможности, предоставляемые общедоступными облачными службами.

Конфиденциальные вычисления Azure — это эффективный ответ на потребности суверенитета и цифровой трансформации государственных служб.

Уменьшенная цепочка доверия

Из-за инвестиций и инноваций в конфиденциальных вычислениях поставщик облачных служб теперь удаляется из цепочки доверия в значительной степени.

Конфиденциальные вычисления могут расширить количество рабочих нагрузок, подходящих для развертывания общедоступного облака. Результатом становится быстрое внедрение публичных услуг для миграции и новых рабочих нагрузок, что улучшает уровень безопасности клиентов и быстро открывает возможности для инновационных сценариев.

Сценарии использования собственного ключа (Bring Your Own Key, BYOK)

Внедрение аппаратных модулей безопасности (HSM), таких как Управляемый HSM Azure Key Vault , позволяет безопасно передавать ключи и сертификаты в защищенное облачное хранилище. С помощью HSM поставщик облачных служб не может получить доступ к такой конфиденциальной информации.

Секреты, которые передаются, никогда не существуют за пределами HSM в виде открытого текста. Сценарии суверенитета ключей и сертификатов, созданных клиентом и управляемыми, по-прежнему могут использовать облачное безопасное хранилище.

Безопасность блокчейн

Сеть блокчейн представляет собой децентрализованную сеть узлов. Эти узлы выполняются и поддерживаются операторами или проверяющими, которые хотят обеспечить целостность и достичь консенсуса по состоянию сети. Узлы являются репликами реестров и используются для отслеживания транзакций блокчейна. Каждый узел имеет полную копию журнала транзакций, которая помогает обеспечить целостность и доступность в распределенной сети.

Технологии блокчейна, основанные на конфиденциальных вычислениях, могут использовать аппаратные методы обеспечения конфиденциальности для защиты данных и вычислений. В некоторых случаях все журналы транзакций шифруются для защиты доступа к данным. Иногда транзакция может происходить в вычислительном модуле внутри анклава в узле.