1. Home
  2. Live Updates
  3. 【機密運算解決

【機密運算解決

【機密運算解決方案巡禮:微軟】提供最多元的機密運算應用


按讚加入iThome粉絲團
微軟
關於伺服器虛擬化平臺的系統安全防護,微軟早在2013年推出的Windows Server 2012 R2,開始支援安全開機,接著,在2015年發布Windows Server 2016技術預覽版時,展示受保護VM(Shielded VM)、主機守護者服務(HGS)等一系列功能。
而關於機密運算的發展,微軟英國劍橋研究院從2015年開始有學者發表相關論文,此外,隨著微軟將重心放在Azure雲端服務,2017年9月該公司技術長暨技術院士Mark Russinovich宣布,他們推出一系列資料安全的功能與服務,稱為Azure Confidential Computing(ACC),並開放先期試用計畫,將提供公有雲服務先前缺乏的資料保護機制,那就是針對使用中的資料實施加密,讓雲端服務處理的資料,能在具有擔保的方式下,處於用戶掌控的狀態。
提供軟體型與硬體型信任執行環境
基於上述單位的合作,微軟發展能讓開發者善用多個信任執行環境(TEE)的平臺,而且開發者不需調整程式碼。微軟表示,初期將支援兩種TEE。
其中之一是軟體型TEE,稱為虛擬安全模式(Virtual Secure Mode,VSM),是在Windows 10與Windows Server 2016作業系統實作──在內建的虛擬化平臺Hyper-V中,針對具有系統管理者權限層級的程式碼執行,提供PC或伺服器預防機制,在這樣的保護之下,無論是本機系統管理員與雲端服務的系統管理員,均無法檢視VSM安全區(enclave)的內容或修改當中的執行方式。
另一是硬體型TEE,是基於Intel SGX技術而成的作法,微軟將在公有雲環境搭配內建SGX功能執行個體服務),以提供這項保護。
當時,微軟也表示,正與其他軟硬體廠商合作開發TEE,還提供工具、軟體開發套件,以及Windows與Linux等兩大OS支援。
在此同時,微軟也將安全區的概念用於幾種領域。在區塊鏈業保護上,他們在2017年8月推出機密聯盟區塊鏈框架(Coco);針對資料庫的存取保護,微軟也以此實作「使用中加密(encryption-in-use)」的功能,可適用於Azure SQL Database與SQL Server。
而這技術其實也是SQL Server的一律加密(Always Encrypted)功能強化,可確保微軟資料庫能夠全程、持續加密,而無損於SQL查詢的使用。
【微軟機密運算解決方案與發展策略總覽】相較於目前市面上的機密運算平臺,微軟憑藉自身的研究、與多家廠商的合作,打造出一個涵蓋層面更為廣泛、多元的應用生態,從串連其他業者組成機密運算聯盟、支援3大處理器平臺、推出執行個體與物聯網設備支援,到發展出上層的各式資料應用服務、公用服務、軟體開發套件,成果斐然。(圖片來源/微軟)
推出支援Intel SGX的執行個體服務,實現機密運算應用
到了2018年5月,微軟進一步闡釋Azure Confidential Computing的定位。Mark Russinovich表示,鎖定雲端服務處理資料的應用保護需求,也是微軟機密雲(Confidential Cloud)願景的基礎。
而在推動機密運算的方法上,他也提到硬體、軟體、服務等6大關鍵。以硬體與運算而言,Azure將推出DC系列執行個體服務,採用內建SGX技術的Xeon E處理器,用戶可在雲端服務執行支援SGX的應用程式,保護程式碼與資料的機密性與完整性;在軟體開發的部份,微軟與多家廠商開發橫跨硬體TEE與軟體TEE的API,讓程式碼具有可移植性,同時,也提供相關工具與除錯支援,協助這類程式的開發與測試──初期能以C或C++語言,搭配Intel SGX SDK,以及安全區API來組建應用程式。
在服務與應用案例上,微軟表示,可結合多資料源,支援安全機器學習。
在2018年9月舉行的Ignite全球用戶大會後,微軟宣布DC系列執行個體服務將提供公開預覽版,也推出開原碼的軟體開發套件Open Enclave SDK,提供一致的API介面與安全區抽象化設計,他們預告後續版本將支援Arm TrustZone,提供更多執行時期元件與Windows支援,以確保這套SDK能廣泛應用,可橫跨不同安全區技術,以及雲、混合雲、邊緣運算、內部等環境的使用。
為強化物聯網與跨平臺能力,這套SDK整合Azure IoT Edge安全性管理員,如此一來,採用Azure IoT Edge平臺的開發者,在撰寫受信任的應用程式時,搭配的信任根可置於基於安全晶片而成的TEE,而且,實際應用上,可涵蓋Intel SGX、Arm TrustZone,以及採用Linux與Windows系統的嵌入式安全元件(eSE)。

Related Keywords

Seoul , Soult Ukpyolsi , South Korea , Cambridge , Cambridgeshire , United Kingdom , , Cambridge Research Start , Management Service , Microsoft Institute , Software Factory , Microsoft , Intel , Start Support , Intel Seoul , Union Support , Source Microsoft , Region Design , General Assembly , சியோல் , தெற்கு கொரியா , கேம்பிரிட்ஜ் , கேம்பிரிட்ஜ்ஷைர் , ஒன்றுபட்டது கிஂக்டம் , மேலாண்மை சேவை , மென்பொருள் தொழிற்சாலை , மைக்ரோசாஃப்ட் , இன்டெல் , தொழிற்சங்கம் ஆதரவு , பகுதி வடிவமைப்பு , ஜநரல் சட்டசபை ,

© 2025 Vimarsana