Computación confidencial en Azure
Azure ofrece muchas herramientas para cifrar datos en reposo mediante modelos como el cifrado del lado del cliente y el cifrado del lado del servidor. Además, Azure ofrece mecanismos para cifrar los datos en tránsito mediante protocolos seguros como TLS y HTTPS. La computación confidencial aborda la protección de datos en uso, ayudándole a ampliar las protecciones del cifrado.
Con tecnologías de computación confidencial, puede proteger el entorno virtualizado desde el host, el hipervisor, el administrador del host e incluso su propio administrador de máquina virtual. Esto ayuda a las organizaciones a:
Impida el acceso no autorizado: Ejecute información confidencial en la nube. Confíe en que Azure proporciona la mejor protección de datos posible, con poco o ningún cambio respecto a lo que se hace hoy.
Cumplir con las normativas: Migre a la nube y mantenga el control total de los datos para satisfacer las regulaciones gubernamentales para proteger la información personal y la dirección IP de la organización.
Asegurar la colaboración segura y la no confiable: Afronte los problemas de escala de trabajo de todo el sector mediante la combinación de datos entre organizaciones, incluso competidores, para desbloquear amplios análisis de datos y obtener información más detallada.
Aislar el procesamiento: Ofrezca una nueva gama de productos que eliminen la responsabilidad sobre los datos privados con un procesamiento ciego. El proveedor de servicios no puede ni siquiera recuperar los datos de usuario.
Novedades de la computación confidencial de Azure
Ofertas de Azure
La compatibilidad con la computación confidencial sigue expandiéndose, desde las máquinas virtuales de base hasta las ofertas respaldadas por GPU, pasando por los contenedores y los servicios administrados.
Comprobar que las aplicaciones se ejecutan confidencialmente es la base de la computación confidencial. Esta comprobación es multiproceso y se basa en el siguiente conjunto de ofertas de Azure:
Microsoft Azure Attestation, un servicio de atestación remota para validar la confiabilidad de varios entornos de ejecución de confianza (TEE) y comprobar la integridad de los archivos binarios que se ejecutan dentro de los entornos de ejecución de confianza.
HSM administrado de Azure Key Vault es un servicio en la nube que cumple los estándares, completamente administrado, de alta disponibilidad y de un solo inquilino que le permite proteger las claves criptográficas de las aplicaciones en la nube mediante módulos de seguridad de hardware (HSM) validados de nivel 3 de FIPS 140-2.
Trusted Hardware Identity Management, un servicio que controla la administración de caché de certificados para todos los entornos de ejecución de confianza (TEE) que residen en Azure y proporciona información de base informática de confianza (TCB) para aplicar una línea base mínima para las soluciones de atestación.
Inicio seguro está disponible en todas las máquinas virtuales de segunda generación con características de seguridad protegidas (arranque seguro, módulo de plataforma de confianza virtual y supervisión de la integridad de arranque) que sirven de protección contra kits de arranque, rootkits y malware de nivel de kernel.
Azure Confidential Ledger. ACL es un registro a prueba de alteraciones para almacenar datos confidenciales para mantener y auditar registros o para la transparencia de los datos en escenarios con varias partes. Ofrece garantías de que se escribe una vez y se leen muchas, lo que hacen que los datos no se puedan borrar ni modificar. El servicio se basa en Confidential Consortium Framework de Microsoft Research.
Azure IoT Edge admite aplicaciones confidenciales que se ejecutan dentro de enclaves seguros en un dispositivo de Internet de las cosas (IoT). Los dispositivos de IoT a menudo se exponen a alteraciones y falsificación, porque los actores no válidos pueden acceder físicamente a ellos. Los dispositivos IoT Edge confidenciales agregan confianza e integridad en el perímetro mediante la protección del acceso a los datos capturados por el propio dispositivo, y almacenados en él, antes de transmitirlos en secuencias a la nube.
Always Encrypted con enclaves seguros en Azure SQL. La confidencialidad de los datos confidenciales se protege de malware y usuarios no autorizados con privilegios elevados al ejecutar consultas SQL directamente dentro de un TEE.
Tecnologías como AMD SEV-SNP, Intel SGX e Intel TDX proporcionan implementaciones de hardware a nivel de silicio de la computación confidencial. Ofrecemos las siguientes tecnologías hoy en día:
VM con enclaves de aplicaciones Intel SGX. Azure ofrece las series DCsv2, DCsv3 y DCdsv3 basadas en la tecnología Intel SGX para la creación de enclaves basados en hardware. Puede compilar aplicaciones seguras basadas en el enclave para que se ejecuten en una serie de máquinas virtuales con el fin de proteger los datos de las aplicaciones y el código en uso.
Contenedores compatibles con enclave que se ejecutan en Azure Kubernetes Service (AKS). Los nodos de computación confidencial de AKS usan Intel SGX para crear entornos de enclave aislados en los nodos entre cada aplicación de contenedor.
Las máquinas virtuales confidenciales basadas en la tecnología AMD SEV-SNP permiten la migración mediante lift-and-shift de las cargas de trabajo existentes y protegen los datos del operador en la nube con confidencialidad de nivel de máquina virtual.
Las máquinas virtuales confidenciales basadas en la tecnología Intel TDX permiten la migración mediante lift-and-shift de las cargas de trabajo existentes y protegen los datos del operador en la nube con confidencialidad de nivel de máquina virtual.
Confidential Consortium Framework es un servidor de inferencia de Machine Learning restringe que la parte del host de Machine Learning acceda tanto a la solicitud de inferencia como a su respuesta correspondiente.