TEE(신뢰할 수 있는 실행 환경)를 사용하는 경우 보안 환경에서 코드와 데이터를 보호합니다.
TEE란?
신뢰할 수 있는 실행 환경은 암호화를 사용하여 나머지 CPU로부터 보호되는 메모리 및 CPU의 분리된 영역입니다. 해당 환경 외부의 모든 코드는 TEE의 데이터를 읽거나 변조할 수 없습니다. 권한 있는 코드는 TEE 내의 데이터를 조작할 수 있습니다.
TEE 내에서 실행되는 코드는 명확하게 처리되지만 외부의 모든 항목이 액세스하려고 할 때만 암호화된 형식으로 표시됩니다. CPU 다이 내에 포함된 플랫폼 보안 프로세서는 이 보호를 관리합니다.
Azure 기밀 컴퓨팅에는 워크로드를 다시 호스트하기 위한 제품과 사용자 지정 개발 애플리케이션을 위한 enclave 기반 워크로드의 두 가지 제품이 있습니다.
재호스팅 제공은 AMD SEV-SNP(일반 공급) 또는 Intel Trust Domain Extensions(TDX)(미리보기)를 사용하여 VM의 전체 메모리를 암호화합니다. 고객은 코드 변경이나 성능 저하 없이 기존 워크로드를 Azure 기밀 컴퓨팅으로 마이그레이션할 수 있습니다. 이 제품은 VM(가상 머신) 및 컨테이너 워크로드를 지원합니다.
enclave 기반 제품은 고객 코드가 Intel SGX(Software Guard Extensions) 를 사용하여 VM 내에서 암호화된 보호 캐시라는 보호된 메모리 영역을 만들 수 있도록 하는 CPU 기능을 제공합니다. 고객은 강력한 데이터 보호 및 개인 정보 보호 보장을 통해 중요한 워크로드를 실행할 수 있습니다. Azure 기밀 컴퓨팅은 2020년에 첫 번째 enclave 기반 제품을 도입했습니다. 이 데이터 보호 모델을 활용하려면 고객 애플리케이션을 특별히 개발해야 합니다.
이러한 기본 기술은 모두 Azure 플랫폼에서 기밀 IaaS(Infrastructure as a Service) 및 PaaS(Platform as a Service) 클라우드 컴퓨팅 모델을 제공하는 데 사용되므로 고객이 솔루션에서 기밀 컴퓨팅을 간단하게 채택할 수 있습니다.
새로운 GPU(그래픽 처리 장치) 디자인은 TEE 기능도 지원합니다. 현재 미리 보기로 제공되는 NVIDIA 제품과 같은 기밀 VM과 같은 CPU TEE 솔루션과 GPU를 안전하게 결합하여 신뢰할 수 있는 AI를 제공할 수 있습니다.
관련 콘텐츠
TEE가 여러 Azure 하드웨어에서 구현되는 방법에 대한 기술 정보는 다음을 참조하세요.