Azure 기밀 컴퓨팅 Vm (가상 머신) 개요Azure confidential computing virtual machines (VMs) overview

Azure는 가상화된 환경에서 기밀 컴퓨팅을 제공하는 최초의 클라우드 공급자입니다.Azure is the first cloud provider to offer confidential computing in a virtualized environment. 하드웨어와 애플리케이션 간의 추상화 계층으로 작동하는 가상 머신이 개발되었습니다.We've developed virtual machines that act as an abstraction layer between the hardware and your application. 중복성 및 가용성 옵션을 사용하여 규모에 맞게 워크로드를 실행할 수 있습니다.You can run workloads at scale and with redundancy and availability options.

Intel SGX 사용 Virtual MachinesIntel SGX-enabled Virtual Machines

Azure 기밀 컴퓨팅 가상 머신에서 CPU 하드웨어의 일부는 애플리케이션의 일부 코드 및 데이터를 위해 예약됩니다.In Azure confidential computing virtual machines, a part of the CPU's hardware is reserved for a portion of code and data in your application. 이 제한된 부분이 enclave입니다.This restricted portion is the enclave.

VM 모델

Azure 기밀 컴퓨팅 인프라는 현재 VM(가상 머신)의 특수 SKU로 구성되어 있습니다.Azure confidential computing infrastructure is currently comprised of a specialty SKU of virtual machines (VMs). 이러한 VM은 Intel SGX(Software Guard Extension)가 있는 Intel 프로세서에서 실행됩니다.These VMs run on Intel processors with Software Guard Extension (Intel SGX). Intel SGX는 기밀 컴퓨팅을 통해 더 강화된 보호를 허용하는 구성 요소입니다.Intel SGX is the component that allows the increased protection that we light up with confidential computing.

현재 Azure는 하드웨어 기반 enclave를 만들기 위한 Intel SGX 기술을 기반으로 하는 DCsv2 시리즈를 제공하고 있습니다.Today, Azure offers the DCsv2-Series built on Intel SGX technology for hardware-based enclave creation. DCsv2 시리즈 VM에서 실행하는 보안 enclave 기반 애플리케이션을 빌드하여 사용 중인 애플리케이션 데이터와 코드를 보호할 수 있습니다.You can build secure enclave-based applications to run in the DCsv2-series of VMs to protect your application data and code in use.

하드웨어 기반의 신뢰할 수 있는 enclaves를 사용 하 여 Azure 기밀 컴퓨팅 가상 머신을 배포 하는 방법에 대해 자세히 알아보세요.Read more about deploying Azure confidential computing virtual machines with hardware-based trusted enclaves.

EnclaveEnclaves

Enclaves는 하드웨어 프로세서와 메모리의 보안 부분입니다.Enclaves are secured portions of the hardware’s processor and memory. 디버거를 사용하는 경우에도 enclave 내부의 데이터 또는 코드를 볼 수 있는 방법이 없습니다.There's no way to view data or code inside the enclave, even with a debugger. 신뢰할 수 없는 코드에서 enclave 메모리의 콘텐츠를 수정하려고 하면 환경이 사용하지 않도록 설정되고 작업이 거부됩니다.If untrusted code attempts modify the content in enclave memory, the environment gets disabled and the operations are denied.

기본적으로 enclave는 보안 박스로 간주됩니다.Fundamentally, think of an enclave as a secured box. 암호화된 코드와 데이터를 박스에 넣습니다.You put encrypted code and data in the box. 박스 외부에서는 아무것도 볼 수 없습니다.From the outside of the box, you can't see anything. 데이터를 해독할 수 있는 키를 enclave에 지정합니다. 그러면 데이터를 처리하고 다시 암호화한 후에 enclave에서 내보냅니다.You give the enclave a key to decrypt the data, the data is then processed and encrypted again, before being sent out of the enclave.

각 enclave에는 각 enclave에서 보유할 수 있는 메모리 양을 결정 하는 EPC (암호화 된 페이지 캐시)의 크기가 설정 되어 있습니다.Each enclave has a set size of encrypted page cache (EPC) that determines the amount of memory each enclave can hold. DCsv2 가상 머신에는 더 많은 EPC 메모리가 있습니다.Larger DCsv2 virtual machines have more EPC memory. DCsv2 사양 페이지에서 VM 당 최대 EPC 크기를 읽습니다.Read the DCsv2 specifications page for the maximum EPC per VM Size.

Enclaves 내에서 실행할 응용 프로그램 개발Developing applications to run inside enclaves

애플리케이션을 개발할 때 소프트웨어 도구를 사용하여 enclave 내의 코드 및 데이터 부분을 보호할 수 있습니다.When developing applications, you can use software tools to shield portions of your code and data inside the enclave. 이러한 도구는 신뢰할 수 있는 환경 외부의 사용자가 코드와 데이터를 보거나 수정할 수 없도록 합니다.These tools will ensure your code and data can't be viewed or modified by anyone outside the trusted environment.

다음 단계Next Steps