系统粉 > IT资讯 > 微软资讯

Azure机密计算将保持数据的秘密, 包括微软

发布时间:2017-09-15    浏览数:

Azure机密计算将保持数据的秘密, 包括微软(1)

微软周四宣布推出名为“机密计算”的Azure云平台的新功能。该功能将允许在Azure上运行的应用程序不仅在静态(存储)或传输(通过网络),而且在内存计算时保持数据加密。数据加密时的这种加密能力意味着即使是微软管理员,政府手令和黑客也能保护数据。

机密计算将有两种模式:一种是基于虚拟机,另一种则使用英特尔最近推出的Skylake-SP Xeon处理器中的SGX(“软件防护扩展”)功能。这两种模式都将允许应用程序对其代码和数据的某些部分进行振铃,以便它们在“可信执行环境”(TEE)中运行。 TEE内的代码和数据不能从TEE外面检查。

虚拟机模式使用Windows 10和Windows Server 2016中引入的Hyper-V的虚拟安全模式(VSM)功能。使用VSM,应用程序的大部分部分将在常规操作系统的普通虚拟机中运行。受保护的TEE部件将在单独的虚拟机中运行,该虚拟机仅包含基本存根操作系统(足以与常规VM通信)以及只需要处理敏感数据的应用程序代码的那些部分。

即使应用程序受到攻击并且攻击者可以访问主虚拟机,VSM TEE中的数据将无法访问,因为Hyper-V使虚拟机彼此分开。攻击者必须妥协Hyper-V本身才能突破这种隔离。

SGX模式使用处理器功能在常规流程中切出TEE,而不需要虚拟机。处理器本身将对来自存储器的数据进行加密和解密,使得数据仅在处理器本身内被解密。有了这种模式,Hyper-V的安全性并不重要;应用程序唯一需要信任的是处理器及其实施的SGX。有了SGX飞地,没有人 - 甚至是微软 - 都可以看到TEE中的数据。

微软也表示正在努力开发其他TEE,可以想象,例如使用AMD的Epyc处理器的加密内存功能的基于虚拟机的TEE将是有意义的。

Azure机密通过早期访问程序可以使用支持计算的虚拟机。该功能将支持运行Windows和Linux的虚拟机,并提供SDK,开发人员可以将部分应用程序写入TEE中。

上一篇:微软新工具可测试电脑能否运行虚拟现实头显 下一篇:微软推出了檀香山项目, 这是用于服务器管理的新规

相关资讯

最新热门应用

电脑问答