Condividi tramite

Offerte Azure

  • Articolo

Macchine virtuali e contenitori

Azure offre il supporto più ampio per tecnologie con protezione avanzata, ad esempio AMD SEV-SNP, Intel TDX e Intel SGX. Tutte le tecnologie soddisfano la definizione del confidential computing, aiutando le organizzazioni a impedire l'accesso non autorizzato o la modifica del codice e dei dati durante l'uso.

  • Macchine virtuali riservate che usano AMD SEV-SNP. DCasv5 ed ECasv5 consentono il lift-and-shift dei carichi di lavoro esistenti e consentono di proteggere i dati dall'operatore cloud con riservatezza a livello di macchina virtuale.

  • Macchine virtuali riservate che usano Intel TDX. DCesv5 e ECesv5 consentono il lift-and-shift dei carichi di lavoro esistenti e consentono di proteggere i dati dall'operatore cloud con riservatezza a livello di macchina virtuale.

  • Macchine virtuali con enclave di applicazioni che usano Intel SGX. DCsv2, DCsv3 e DCdsv3 consentono alle organizzazioni di creare enclave hardware. Queste enclave sicure consentono di proteggere gli operatori cloud e i propri amministratori di macchine virtuali.

  • Contenitori con riconoscimento dell'enclave delle app in esecuzione nel servizio Azure Kubernetes. I nodi di confidential computing nel servizio Azure Kubernetes usano Intel SGX per creare ambienti enclave isolati nei nodi tra ogni applicazione contenitore.

Diagramma dei vari SKU, contenitori e servizi dati abilitati per il confidential computing.

Servizi riservati

Azure offre diverse funzionalità PaaS, SaaS e VM che supportano o si basa sul confidential computing, tra cui:

  • Modulo di protezione hardware (HSM) gestito di Azure Key Vault, un servizio cloud completamente gestito, a disponibilità elevata, a tenant singolo e conforme agli standard che consente di proteggere le chiavi crittografiche per le applicazioni cloud tramite moduli HSM convalidati in base agli standard FIPS 140-2 livello 3.

  • Always Encrypted con enclavi sicure in Azure SQL. La riservatezza dei dati sensibili è protetta da malware e utenti non autorizzati con privilegi elevati eseguendo query SQL direttamente all'interno di un ambiente TEE.

  • Azure Databricks consente di offrire maggiore sicurezza e maggiore riservatezza a Databricks Lakehouse usando macchine virtuali riservate.

  • Desktop virtuale Azure garantisce che il desktop virtuale di un utente sia crittografato in memoria, protetto in uso e supportato dalla radice hardware di attendibilità.

  • Attestazione di Microsoft Azure, un servizio di attestazione remota per convalidare l'attendibilità di più ambienti di esecuzione attendibile (TEE) e verificare l'integrità dei file binari in esecuzione all'interno di questi ambienti.

  • Trusted Hardware Identity Management, un servizio per la gestione della cache dei certificati per tutti gli ambienti TEE che risiedono in Azure e fornisce informazioni TCB (Trusted Computing Base) per applicare una baseline minima per le soluzioni di attestazione.

  • Azure Confidential Ledger. ACL è un registro a prova di manomissione per l'archiviazione di dati sensibili per la conservazione e il controllo dei record o per la trasparenza dei dati in scenari che coinvolgono più parti. Offre le garanzie dei criteri WORM (Write Once, Read Many) per rendere i dati non cancellabili e non modificabili. Il servizio è basato su Confidential Consortium Framework di Microsoft Research.

Offerte supplementari

  • Azure IoT Edge supporta applicazioni riservate eseguite all'interno di enclavi sicure in un dispositivo IoT (Internet delle cose). I dispositivi IoT sono spesso esposti a manomissioni e falsificazione perché sono fisicamente accessibili per gli utenti malintenzionati. I dispositivi IoT Edge riservati aggiungono attendibilità e integrità sul perimetro, proteggendo l'accesso ai dati acquisiti e archiviati all'interno del dispositivo stesso prima di trasmetterli al cloud.

  • Confidential Inferencing ONNX Runtime, un server di inferenza di Machine Learning (ML) che impedisce all'entità host ML di accedere sia alla richiesta di inferenza che alla risposta corrispondente.

  • L'avvio attendibile è disponibile in tutte le macchine virtuali di seconda generazione e offre funzionalità di sicurezza avanzate (avvio protetto, Trusted Platform Module virtuale e monitoraggio dell'integrità dell'avvio) che proteggono da bootkit, rootkit e malware a livello di kernel.

Novità del confidential computing di Azure

Passaggi successivi