微軟為新一系列的Azure安全功能——稱之為“機密計算”——開放了早期訪問計劃,這種服務甚至可以防止那些可以訪問硬件的員工訪問數據。
這項新服務在數據保護方面的主要增強,是加密使用中的數據,這將為那些可能把最敏感的數據保存在公有云中的客戶提供更好的安全保障。這項服務針對那些需要分享高度敏感數據的組織部門,例如財務和醫(yī)療等。
這種機密計算側重于基于硬件的加密,以確保當數據需要干凈處理的時候,數據是處于一種安全或者可信執(zhí)行環(huán)境(TEE)中的。它采用了針對Azure SQL數據庫和SQL Server所謂的“使用中加密”技術,是對現有加密靜態(tài)數據和傳輸中數據的保護進行了擴展。
微軟最初支持的是Windows Virtual Secure Mode,這是一種基于軟件的TEE,是由Windows 10和Windows Server 2016中的Hyper-V實現的,還有一種基于硬件的TEE,是在Azure服務器上,支持英特爾的Software Guard Extensions(SGX)。據微軟首席技術官Mark Russinovich表示,這些是“公有云中首個支持SGX的服務器”。此外微軟還在與英特爾合作支持其他TEE。
英特爾向開發(fā)者提供SGX套件,允許開發(fā)者在受保護內存區(qū)域中自行應用程序代碼。英特爾推出了支持第7代英特爾Core處理器以及用于數據中心服務器的英特爾至強處理器E3 v5芯片的SGX。
“TEE確保沒有辦法從外部查看內部數據或者操作,即使試用調試器也不行。TEE甚至確保了只有經過授權的代碼才能訪問數據。如果這個代碼被更改或者篡改,操作將被拒絕,環(huán)境禁用。TEE會在執(zhí)行代碼的過程中強制實施這種保護,”Russinovich這樣解釋說。
機密計算旨在防止數據遭受來自可訪問硬件的內部惡意人員、利用操作系統(tǒng)、應用以及虛擬機管理程序的外部攻擊、以及未經授權的第三方訪問等威脅。
Azure機密計算擴大了微軟在CoCo框架(最近公布的針對機密區(qū)塊鏈網絡的系統(tǒng))上對TEE的使用。
此外它還建立在已經提供的Always Encrypted數據庫引擎上,允許數據所有者查看數據,但是防止那些管理數據的人查看。這項功能讓企業(yè)組織可以對靜態(tài)數據以及用于Azure存儲的數據進行加密。
Russinovich認為,Azure機密計算對于那些分享財務數據、醫(yī)療數據和機器學習研究的客戶來說是很有用處的。
“例如在財務方面,個人投資組合數據和財務管理策略在TEE之外是不可見的,”他指出。
“醫(yī)療機構可以通過共享他們的私密的病人數據(如基因組序列)進行協(xié)作,從跨多個數據集的機器學習中獲得更深入的洞察,而避免了數據泄露給其他組織的風險。在石油和天然氣,以及物聯網場景下,對于企業(yè)來說意味著核心知識產權的敏感的地震數據,可以遷移到云端進行處理,但是是處于使用中數據加密的保護中。”
京公網安備 11010502049343號