微软Azure机密运算服务现在正式推出DCsv2系列虚拟机,采用英特尔硬件提供更高等级的资料保护,即便虚拟机正在处理资料,也能够确保资料的机密性和完整性。
微软提到,在云计算存储和处理敏感资料的安全性和隐私非常重要,因此他们开发了新的方法,在使用Azure机密运算时,还可以进一步保护资料。机密运算的重点在于保护资料,在使用资料时具备机密性和完整性,Azure使用硬件可信执行环境(Trusted Execution Environments,TEEs),在公有云上提供虚拟化基础设施,即便可物理操作服务器的云计算管理员和数据中心运营人员,也无法访问受TEE保护的资料。
而新发布的DCsv2机密运算虚拟机,则应用英特尔硬件以提供额外的资料保护功能,实现了英特尔SGX(Intel Software Guard Extensions)技术,微软提到,英特尔SGX硬件会在CPU处理资料的时候,对这些资料进行加密保护,因此即便是操作系统和虚拟机的管理程序,也都没有权限访问这些加密资料,包括具有物理访问服务器权限的人,也都无法窃取用户资料。
微软与多个厂商合作,在Azure机密运算基础设施上提供解决方案,像是Fortanix的云计算原生资料安全解决方案,具有Azure机密运算的密钥管理、HSM、令牌化和机密管理等功能,还有Anjuna的端到端CPU硬件加密安全执行实例,可在不改变应用程序和操作的同时,提升执行实例安全性。