微软和Arm、Scalys BV合作,发布安全区设备蓝图(Enclave Device Blueprint),这项解决方案让边缘运算也可简单地应用机密计算,由于安全区设备(Enclave Device)的设计和操作非常复杂,安全区设备蓝图则能够简化安全区设备的工程设计,以及在物联网中部署机密应用程序。
微软提到,随着物联网的发展,更需要机密运算来保护隐私和安全性,通过被称为可信执行环境(TEE),或是安全区的隔离技术,来强化安全性和防止篡改。
机密运算可以理解成,经过额外强化安全性的传统运算范式,提供运算工作负载和资料更多的保护,传统运算在存储和传输资料时,应用加密技术对运算工作负载、资料和人工智能模型等内容进行加密,并在使用时在内存内解密这些内容,微软认为,这种运行模型在低资料外泄,和恶意篡改风险的环境运行良好,但是在物联网和云计算环境,需要有更高的隐私和安全标准。
TEE机密运算提供了必要的隔离,以实现隐私和安全性,而微软进一步说明,机密运算上在云计算和边缘,主要的区别在于,云计算供应商在云中配置和运营必要的基础设施,而物联网解决方案供应商负责安全区设备,而这样的复杂性使得设备开发充满挑战。
而且云计算机密运算的基础设施位于数据中心,受许多额外的设施和安全控制保护,但是物联网和安全区设备位于容易持续受到恶意物理攻击的位置,在设计上与传统运算有许多不同的考量。
安全区设备蓝图的目的,便是要维持最高等级的安全性,但同时又要能简化边缘运算使用机密运算的复杂性。安全区设备蓝图包含了项目、资源和指南,可抽象和简化安全区设备的开发,让物联网大规模部署机密应用程序变简单,填补架构和组件之间的差距,与传统运算互补,使得机密运算能够成为物联网的主流范式。
安全区设备蓝图独立于硬件技术、操作系统和解决方案,简单来说,微软邀请社群来解决这个复杂的问题,而参与者都可以通过协作降低成本,目前蓝图所有组件都是开源的,并且社群拥有完整的所有权和治理能力。
该解决方案构建在Azure云计算上,使用像是Azure IoT Edge、Azure IoT Hub、Azure Functions以及Azure Key Vault等全托管服务,并且集成安全区设备蓝图的组件,来调度端到端大规模构建任务。