Partager via

Environnement d'exécution fiable (TEE)

  • Article

Qu’est-ce qu’un TEE ?

Un TEE (environnement d’exécution approuvé) est une zone à part de mémoire et de processeur qui est protégée du reste du processeur à l’aide du chiffrement. Toutes les données du TEE sont protégées de toute lecture ou falsification par quelque code que ce soit en dehors de cet environnement. Les données peuvent être manipulées à l’intérieur du TEE par du code autorisé de manière adaptée.

Le code qui s’exécute à l’intérieur du TEE est traité en clair, mais n’est visible qu’au format chiffré lorsque tout élément extérieur tente d’y accéder. Cette protection est gérée par le processeur de sécurité de la plateforme incorporé à l’intérieur du processeur.

Image showing the Trusted Compute Base (TCB) concept mapped to Intel SGX and AMD SEV-SNP Trusted Execution Environments

L’informatique confidentielle Azure propose deux offres : une pour les charges de travail basées sur les enclaves et une pour les charges de travail lift-and-shift.

L’offre basée sur les enclaves utilise Intel Software Guard Extensions (SGX) pour créer une région de mémoire protégée appelée Cache protégé chiffré (EPC) au sein d’une machine virtuelle. Cela permet aux clients d’exécuter des charges de travail sensibles avec des garanties fortes en matière de protection des données et de confidentialité. L’informatique confidentielle Azure a lancé la première offre basée sur les enclaves en 2020.

L’offre lift-and-shift utilise AMD SEV-SNP (GA) ou Intel TDX (préversion) pour chiffrer toute la mémoire d’une machine virtuelle. Cela permet aux clients de migrer leurs charges de travail existantes vers le calcul confidentiel Azure sans aucune modification du code ni détérioration des performances.

La plupart de ces technologies sous-jacentes sont utilisées pour fournir des services IaaS et PaaS confidentiels dans la plateforme Azure, ce qui permet aux clients d’adopter l’informatique confidentielle au sein leurs solutions.

De nouvelles conceptions GPU prennent également en charge une fonctionnalité TEE et peuvent être combinées en toute sécurité avec des solutions TEE de processeur telles que des machines virtuelles confidentielles, par exemple l’offre NVIDIA actuellement en préversion pour fournir une IA fiable.

Des détails techniques sur la façon dont le TEE est implémenté sur différents matériels Azure sont disponibles ainsi :

Machines virtuelles confidentielles AMD SEV-SNP (https://www.amd.com/en/developer/sev.html)

Machines virtuelles compatibles avec Intel SGX (https://www.intel.com/content/www/us/en/architecture-and-technology/software-guard-extensions.html)

Machines virtuelles Intel TDX (https://www.intel.com/content/www/us/en/developer/articles/technical/intel-trust-domain-extensions.html)

Matériel NVIDIA (https://www.nvidia.com/en-gb/data-center/h100/)