个人和企业越来越多的进行云部署、用来存储和办公。为了能够相信他们存储的信息是安全的,公司和个人必须完全控制其数据存储所在的云环境,并了解数据的处理方式。
微软发起了一项旨在创建一系列硬件和软件功能的计划,这些功能允许数据所有者访问数据环境和可验证的安全保护,从而创建一个值得信赖的云。
Microsoft Research 的机密计算小组正在与硬件设计人员合作构建可信执行环境 (TEE),其中数据在存储(静态加密)和传输和使用时保持加密。Azure 机密云平台允许客户上传加密的代码和数据,并以高度隐私的方式接收加密的结果,这就是这项工作的动力。
在 Build 2022 中,微软推出了带升降功能的无服务器机密容器。该服务利用 Microsoft Research 的 Confidential Containers,它在 Azure 上提供了一个可验证的安全容器环境,以便用户可以确认在他们的数据上运行的程序正是他们期望运行的软件,并且他们可以信任调查结果。客户可以使用机密容器在私人环境中利用当前的容器工作负载。
可信计算基础 (TCB)是计算环境中必须不损害计算机密性的组件的总和,机密容器会减少这些组件的总和。TCB 可以包括人、硬件和软件。消除 TCB 组件可以减少攻击面。Confidential Containers 最大限度地减少了 TCB,同时使客户能够通过删除 Microsoft 管理员来继续使用他们当前的工作负载。
由于这种较低的 TCB,使用本地计算的企业现在可以选择云数据保护。尽管云计算提供了灵活性,但管理服务器的任何人都可以访问数据。通过机密容器限制对数据的访问。这可能是拥有数据的公司的单个员工或业务合作伙伴。没有外部人员或 Microsoft 员工。
加密的、受策略约束的计算环境
通过使用安全的硬件来保护数据。通过这个硬件强制的安全边界,加密的数据受到系统外部的阅读者的保护。
机密容器的用户指定一个策略,概述他们可以执行的内容和方式。AMD SEV-SNP 硬件会生成一份详细说明秘密环境(包括策略执行代码)的证明报告。用户可以在提供用于解密加密数据集以进行处理的密钥之前寻求证明报告。
云中的敏感数据处理
由于在 HTTPS 之前互联网通信并不安全,因此企业无法运行安全的 Web 店面。敏感的云数据不能由个人或组织容器化。使用机密容器,这将不是问题。
该团队强调,他们的方法对于遵守国家和国际数据标准的企业非常有帮助,涉及繁忙和耗时的流程。企业可以跳过这些步骤,因为机密容器极大地保护了 Azure 数据。他们也不需要服务器在现场。在云中,与本地相反,Azure 用户可以指定更严格的容器限制。
多方计算
多方计算通过机密容器得到保护。多个组织可以共享安全数据集而不会泄露数据,或者一个组织可以安全地分析各种敏感数据集。组织可以在多个数据集上运行计算来训练机器学习模型并获得比单个数据集更好的结果,而无需知道数据集中有什么。
可移动的 Linux 容器
已经使用或打算使用容器的 Azure 用户可以轻松构建私有容器。从 Linux 切换到 Azure 机密容器很简单。
机密容器的数量是无限的
多亏了这些机密容器,云计算最终将变得更加安全。Azure 客户端可以通过在安全环境中计算各种数据集来释放无限价值。据该团队称,机密容器的受限预览版将于今年晚些时候推出。
本文转自:https://www.marktechpost.com/2022/07/21/microsoft-team-introduces-confidential-computing-offering-trusted-execution-environment/
更多云资讯搜索青椒云电脑:www.qingjiaocloud.com
更多阅读推荐: