時間:2017-09-19 來源:互聯網 瀏覽量:
微軟為新一係列的Azure安全功能——稱之為“機密計算”——開放了早期訪問計劃,這種服務甚至可以防止那些可以訪問硬件的員工訪問數據。
這項新服務在數據保護方麵的主要增強,是加密使用中的數據,這將為那些可能把最敏感的數據保存在公有雲中的客戶提供更好的安全保障。這項服務針對那些需要分享高度敏感數據的組織部門,例如財務和醫療等。
這種機密計算側重於基於硬件的加密,以確保當數據需要幹淨處理的時候,數據是處於一種安全或者可信執行環境(TEE)中的。它采用了針對Azure SQL數據庫和SQL Server所謂的“使用中加密”技術,是對現有加密靜態數據和傳輸中數據的保護進行了擴展。
微軟最初支持的是Windows Virtual Secure Mode,這是一種基於軟件的TEE,是由Windows 10和Windows Server 2016中的Hyper-V實現的,還有一種基於硬件的TEE,是在Azure服務器上,支持英特爾的Software Guard Extensions(SGX)。據微軟首席技術官Mark Russinovich表示,這些是“公有雲中首個支持SGX的服務器”。此外微軟還在與英特爾合作支持其他TEE。
英特爾向開發者提供SGX套件,允許開發者在受保護內存區域中自行應用程序代碼。英特爾推出了支持第7代英特爾Core處理器以及用於數據中心服務器的英特爾誌強處理器E3 v5芯片的SGX。
“TEE確保沒有辦法從外部查看內部數據或者操作,即使試用調試器也不行。TEE甚至確保了隻有經過授權的代碼才能訪問數據。如果這個代碼被更改或者篡改,操作將被拒絕,環境禁用。TEE會在執行代碼的過程中強製實施這種保護,”Russinovich這樣解釋說。
機密計算旨在防止數據遭受來自可訪問硬件的內部惡意人員、利用操作係統、應用以及虛擬機管理程序的外部攻擊、以及未經授權的第三方訪問等威脅。
Azure機密計算擴大了微軟在CoCo框架(最近公布的針對機密區塊鏈網絡的係統)上對TEE的使用。
此外它還建立在已經提供的Always Encrypted數據庫引擎上,允許數據所有者查看數據,但是防止那些管理數據的人查看。這項功能讓企業組織可以對靜態數據以及用於Azure存儲的數據進行加密。
Russinovich認為,Azure機密計算對於那些分享財務數據、醫療數據和機器學習研究的客戶來說是很有用處的。
“例如在財務方麵,個人投資組合數據和財務管理策略在TEE之外是不可見的,”他指出。
“醫療機構可以通過共享他們的私密的病人數據(如基因組序列)進行協作,從跨多個數據集的機器學習中獲得更深入的洞察,而避免了數據泄露給其他組織的風險。在石油和天然氣,以及物聯網場景下,對於企業來說意味著核心知識產權的敏感的地震數據,可以遷移到雲端進行處理,但是是處於使用中數據加密的保護中。”
