Enklawy SGX
Technologia Intel SGX umożliwia klientom tworzenie enklaw, które chronią dane, i przechowywanie danych zaszyfrowanych podczas przetwarzania danych przez procesor CPU.
Enklawy są zabezpieczone części procesora i pamięci sprzętu. Nie można wyświetlać danych ani kodu wewnątrz enklawy, nawet w przypadku debugera. Jeśli niezaufany kod próbuje zmienić zawartość w pamięci enklawy, SGX wyłącza środowisko i odmawia operacji. Te unikatowe funkcje ułatwiają ochronę wpisów tajnych przed dostępnością w przejrzysty sposób.
Pomyśl o enklawie jako zabezpieczonej skrytce. Zaszyfrowany kod i dane są umieszczane w skrytce. Z zewnątrz nic nie widać. Enklawa nadaje kluczowi do odszyfrowywania danych. Enklawa przetwarza i ponownie szyfruje dane przed wysłaniem danych z powrotem.
Poufne przetwarzanie na platformie Azure oferuje maszyny wirtualne serii DCsv2 i DCsv3/DCdsv3 . Te maszyny wirtualne obsługują rozszerzenia Intel® Software Guard (SGX).
Każda enklawa ma zaszyfrowaną pamięć podręczną stron (EPC) o ustawionym rozmiarze. EPC określa ilość pamięci, którą może pomieścić enklawa. Maszyny wirtualne serii DCsv2 przechowują do 168 miB. Maszyny wirtualne serii DCsv3/DCdsv3 przechowują do 256 GB w przypadku większych obciążeń intensywnie korzystających z pamięci.
Opracowywanie dla enklaw
Do tworzenia aplikacji uruchamianych w enklawie można użyć różnych narzędzi programowych. Te narzędzia ułatwiają osłonę fragmentów kodu i danych wewnątrz enklawy. Upewnij się, że nikt spoza zaufanego środowiska nie może wyświetlać ani modyfikować danych za pomocą tych narzędzi.