微軟Azure機密運算服務現在正式推出DCsv2系列虛擬機器,採用英特爾硬體提供更高等級的資料保護,即便虛擬機器正在處理資料,也能夠確保資料的機密性和完整性。
微軟提到,在雲端儲存和處理敏感資料的安全性和隱私非常重要,因此他們開發了新的方法,在使用Azure機密運算時,還可以進一步保護資料。機密運算的重點在於保護資料,在使用資料時具備機密性和完整性,Azure使用硬體可信執行環境(Trusted Execution Environments,TEEs),在公有雲上提供虛擬化基礎設施,即便可物理操作伺服器的雲端管理員和資料中心營運人員,也無法存取受TEE保護的資料。
而新發布的DCsv2機密運算虛擬機器,則應用英特爾硬體以提供額外的資料保護功能,實現了英特爾SGX(Intel Software Guard Extensions)技術,微軟提到,英特爾SGX硬體會在CPU處理資料的時候,對這些資料進行加密保護,因此即便是作業系統和虛擬機器的管理程式,也都沒有權限存取這些加密資料,包括具有物理存取伺服器權限的人,也都無法竊取用戶資料。
微軟與多個廠商合作,在Azure機密運算基礎設施上提供解決方案,像是Fortanix的雲端原生資料安全解決方案,具有Azure機密運算的金鑰管理、HSM、令牌化和機密管理等功能,還有Anjuna的端到端CPU硬體加密安全執行個體,可在不改變應用程式和操作的同時,提升執行個體安全性。