微软发布了最新机密运算用Azure虚拟机DCsv3和DCdsv3,官方提到,DC系列的虚拟机,使用英特尔SGX(Software Guard Extensions)技术,能够创建安全区,在CPU处理资料的同时,通过维持内存加密和隔离来保护资料,使得资料免于意外暴露给操作系统、权限升级的管理程序,甚至是Azure操作人员。
由于使用第三代英特尔Xeon可扩展处理器,使得DC系列的虚拟机功能获得明显提升,不只英特尔SGX的安全区页面缓存(EPC)容量增加为1,500倍,能够支持更大的工作负载,一般内存也增加至12倍,并且有多达48个CPU核心,能在执行机密运算的同时,维持内存密集工作负载的性能。
DC系列虚拟机采用英特尔SGX技术,因此可以在粒度安全控制中,提供应用程序层级的隔离,但微软提到,因为用户希望能够使用虚拟机层级的保护和加密,以便将现有的虚拟机,直接转移到更安全的基础设施。
因此在最新的DCsv3和DCdsv3虚拟机,还使用了英特尔全内存加密(Total Memory Encryption)技术,使得用户可以在同一个节点中,全程激活加密功能。因此结合SGX和全内存加密两项功能,用户可以在应用程序安全区中使用机密运算,并且在虚拟机中的软件,也能获得额外的保护。
新的机密运算虚拟机还支持Azure证明(Attestation),Azure证明是一个验证程序,可以确保软件二进制文件在可信硬件平台中执行,第三代英特尔Xeon可扩展处理器支持ECDSA证明,能够远程验证SGX安全区身份,而Azure证明支持ECDSA。
另外,微软将要以SGX扩展组件的方式,让AKS也能支持机密运算,官方提到,这个扩展能明显提升机密容器的内存密集工作负载性能,像是资料分析、机器学习训练和推理等
目前DCsv3和DCdsv3虚拟机会先在East US 2和Central US地区提供,并在接下来数个月内,在预览结束提供正式版本时,扩展到更多的数据中心。