Udostępnij przez

Oferty platformy Azure

Oferty poufnego przetwarzania na platformie Azure obejmują maszyny wirtualne i kontenery, usługi i oferty uzupełniające.

Maszyny wirtualne i kontenery

Platforma Azure zapewnia najszerszą obsługę technologii ze wzmocnionymi zabezpieczeniami, takich jak AMD SEV-SNP, rozszerzenia domeny Intel Trust (TDX) i rozszerzenia Intel Software Guard (SGX). Wszystkie technologie spełniają naszą definicję poufnego przetwarzania, co ułatwia organizacjom zapobieganie nieautoryzowanemu dostępowi lub modyfikowaniu kodu i danych podczas ich używania.

  • Poufne maszyny wirtualne korzystające z protokołu AMD SEV-SNP. Usługi DCasv5 i ECasv5 umożliwiają ponowne hostowanie istniejących obciążeń i pomagają chronić dane przed operatorami chmury przy użyciu poufności na poziomie maszyny wirtualnej. Poufne maszyny wirtualne DCasv6 i ECasv6 oparte na procesorach AMD EPYC czwartej generacji są obecnie dostępne w wersji zapoznawczej i oferują lepszą wydajność.
  • Poufne maszyny wirtualne korzystające z technologii Intel TDX. DCesv5 i ECesv5 umożliwiają ponowne hostowanie istniejących obciążeń i pomagają chronić dane przed operatorami chmury przy użyciu poufności na poziomie maszyny wirtualnej.
  • Poufne maszyny wirtualne z procesorami graficznymi (GPU). Poufne maszyny wirtualne NCCadsH100v5 są wyposażone w procesor GPU i pomagają zapewnić bezpieczeństwo danych i prywatność podczas zwiększania sztucznej inteligencji i uczenia maszynowego. Te poufne maszyny wirtualne używają połączonego procesora CPU i zaufanych środowisk wykonywania procesora GPU (TEE) do ochrony poufnych danych w procesorze CPU i procesorze GPU w celu przyspieszenia obliczeń. Są one idealne dla organizacji, które muszą chronić dane przed operatorami chmury i korzystać z obliczeń o wysokiej wydajności.
  • Maszyny wirtualne z enklawami aplikacji używającymi intel SGX. DCsv2, DCsv3 i DCdsv3 umożliwiają organizacjom tworzenie enklaw sprzętowych. Te bezpieczne enklawy pomagają chronić maszyny wirtualne przed operatorami chmury i własnymi administratorami maszyn wirtualnych w organizacji.
  • Poufne węzły robocze maszyn wirtualnych usługi Azure Kubernetes Service (AKS), które umożliwiają przeniesienie kontenerów do klastrów AKS. Węzły robocze oparte na sprzęcie AMD SEV-SNP pomagają chronić dane przed operatorami chmury poprzez zapewnienie poufności na poziomie węzła roboczego i oferują elastyczność konfiguracji AKS.
  • Kontenery poufne w usłudze Azure Container Instances, które umożliwiają ponowne hostowanie kontenerów w bezserwerowych wystąpieniach kontenerów uruchomionych na sprzęcie AMD SEV-SNP. Poufne kontenery obsługują integralność i atestację na poziomie kontenera za pośrednictwem zasad wymuszania poufnego przetwarzania (CCE). Te zasady określają komponenty, które mogą działać w grupie kontenerów. Środowisko uruchomieniowe kontenera wymusza zasady. Te zasady pomagają chronić dane przed operatorem chmury i wewnętrznymi podmiotami zagrożeń przy użyciu poufności na poziomie kontenera.
  • Kontenery świadome enklaw aplikacji które działają w usłudze AKS. Węzły poufnego przetwarzania w usłudze AKS używają środowiska Intel SGX do tworzenia izolowanych środowisk enklawy w węzłach między poszczególnymi aplikacjami kontenerów.

Diagram przedstawiający różne jednostki SKU maszyn wirtualnych z obsługą poufnego przetwarzania, kontener i usługi danych.

Usługi poufne

Platforma Azure oferuje różne możliwości platformy jako usługi (PaaS), oprogramowania jako usługi (SaaS) i maszyn wirtualnych, które obsługują lub są oparte na poufnych obliczeniach:

  • Poufne wnioskowanie za pomocą modelu Azure OpenAI Whisper. Poufne przetwarzanie na platformie Azure zapewnia bezpieczeństwo i prywatność danych za pomocą zaufanych środowisk wykonawczych (TEEs). Obejmuje ona zaszyfrowaną ochronę monitów, anonimowość użytkownika i przejrzystość przy użyciu protokołu OHTTP i poufnych maszyn wirtualnych procesora GPU.
  • Usługa Azure Databricks pomaga zwiększyć bezpieczeństwo i zwiększyć poufność usługi Databricks Lakehouse przy użyciu poufnych maszyn wirtualnych.
  • Usługa Azure Virtual Desktop zapewnia, że pulpit wirtualny użytkownika jest szyfrowany w pamięci, chroniony w trakcie użycia i wspierany przez sprzętowe źródło zaufania.
  • Zarządzany moduł HSM usługi Azure Key Vault jest w pełni zarządzany i wysoce dostępny. Użyj tej jednodostępnej, zgodnej ze standardami usługi w chmurze, aby zabezpieczyć klucze kryptograficzne dla aplikacji w chmurze przy użyciu zweryfikowanych modułów zabezpieczeń sprzętowych (HSM) fiPS 140-2 poziom 3.
  • Usługa atestacji Azure to zdalna usługa atestacji do weryfikacji wiarygodności wielu środowisk wykonawczych TEE oraz weryfikacji integralności plików binarnych uruchamianych wewnątrz tych TEEs.
  • Rejestr poufny platformy Azure to rejestr odporny na manipulacje służący do zachowywania i audytu danych poufnych lub zwiększenia przejrzystości danych w scenariuszach wieloaństwowych. Oferuje ona gwarancje zapisu raz-Read-Many, które sprawiają, że dane są nieusuwalne i niezmodyfikowalne. Usługa jest oparta na strukturze Microsoft Research Confidential Consortium Framework.
  • Funkcja Always Encrypted z bezpiecznymi enklawami w usłudze Azure SQL. Poufność poufnych danych jest chroniona przed złośliwym oprogramowaniem i wysoce uprzywilejowanymi nieautoryzowanymi użytkownikami, uruchamiając zapytania SQL bezpośrednio wewnątrz środowiska TEE.

Ten portfel rozszerza się na podstawie zapotrzebowania klientów.

Oferty dodatkowe

  • Zaufane uruchamianie jest dostępne na wszystkich maszynach wirtualnych generacji 2. Zapewnia on wzmocnione funkcje zabezpieczeń, takie jak bezpieczny rozruch, wirtualny moduł zaufanej platformy i monitorowanie integralności rozruchu. Te funkcje zabezpieczeń chronią przed zestawami rozruchowymi, zestawami rootkit i złośliwym oprogramowaniem na poziomie jądra.
  • Zintegrowany moduł HSM platformy Azure jest obecnie opracowywany. Zintegrowany moduł HSM platformy Azure to dedykowany moduł HSM spełniający standardy zabezpieczeń fiPS 140-3 poziom 3. Zapewnia solidną ochronę kluczy, umożliwiając szyfrowanie i klucze do podpisywania pozostające w module HSM bez występowania opóźnień związanych z dostępem do sieci. Zintegrowany moduł HSM platformy Azure oferuje zwiększone zabezpieczenia przy użyciu lokalnie wdrażanych usług HSM. Dzięki niej klucze kryptograficzne mogą pozostać odizolowane od oprogramowania gościa i hosta. Obsługuje duże ilości żądań kryptograficznych z minimalnym opóźnieniem. Zintegrowany moduł HSM platformy Azure zostanie zainstalowany na każdym nowym serwerze w centrach danych firmy Microsoft od przyszłego roku w celu zwiększenia ochrony floty sprzętowej platformy Azure.
  • Trusted Hardware Identity Management to usługa, która obsługuje zarządzanie pamięcią podręczną certyfikatów dla wszystkich środowisk TEE, które znajdują się na platformie Azure. Udostępnia informacje o zaufanej bazie obliczeniowej w celu wdrożenia minimalnej podstawy dla rozwiązań związanych z zaświadczaniem.
  • Usługa Azure IoT Edge obsługuje poufne aplikacje działające w bezpiecznych enklawach na urządzeniu Internetu rzeczy (IoT). Urządzenia IoT są często narażone na manipulowanie i fałszerzowanie, ponieważ są fizycznie dostępne dla złych aktorów. Poufne urządzenia IoT Edge zwiększają zaufanie i integralność na krawędzi sieci. Chronią dostęp do danych przechwyconych i przechowywanych wewnątrz urządzenia przed przesyłaniem ich strumieniowo do chmury.
  • Poufne wnioskowanie w środowisku uruchomieniowym ONNX to serwer wnioskowania uczenia maszynowego, który ogranicza dostawcy hostingu uczenia maszynowego dostęp do żądania wnioskowania i odpowiadającej mu odpowiedzi.

Co nowego w przetwarzaniu poufnym na platformie Azure

Treści powiązane

  • Last updated on