通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 产品/服务

Azure 机密计算产品/服务包括虚拟机(VM)和容器、服务和补充产品/服务。

虚拟机和容器

Azure 对 AMD SEV-SNPIntel 信任域扩展(TDX)Intel 软件防护扩展(SGX)等强化技术提供最广泛的支持。 所有技术都符合机密计算的定义,即帮助组织防止在使用时未经授权访问或修改代码和数据。

  • 使用 AMD SEV-SNP 的机密 VM。 DCasv5ECasv5 可重新托管现有工作负载,并帮助保护具有 VM 级机密性的云作员的数据。 基于第四代 AMD EPYC 处理器的 DCasv6 和 ECasv6 机密 VM 目前处于封闭预览状态,并提供增强的性能。
  • 使用 Intel TDX 的机密 VM。 DCesv5ECesv5 支持重新托管现有工作负载,并帮助保护具有 VM 级机密性的云作员的数据。
  • 具有图形处理单元(GPU)的机密 VM。 NCCadsH100v5 机密 VM 附带 GPU,有助于确保数据安全和隐私,同时提升 AI 和机器学习任务。 这些机密 VM 使用链接的 CPU 和 GPU 受信任的执行环境(TEE) 来保护 CPU 和 GPU 中的敏感数据,以加速计算。 它们非常适合需要保护数据免受云服务提供商影响并使用高性能计算的组织。
  • 包含使用 Intel SGX 的应用程序 enclave 的 VM。 DCsv2DCsv3 和 DCdsv3 使组织能够创建硬件安全区。 这些安全 enclave 有助于保护 VM 免受云作员和组织自己的 VM 管理员的攻击。
  • 允许将容器重新托管到 AKS 群集的机密 VM Azure Kubernetes 服务(AKS)工作器节点。 基于 AMD SEV-SNP 硬件的工作节点帮助保护数据,使其免受云服务商的访问,并提供了工作节点级别的机密性和 AKS 的配置灵活性。
  • Azure 容器实例上的机密容器 ,允许将容器重新托管到 AMD SEV-SNP 硬件上运行的无服务器容器实例。 机密容器通过 机密计算强制执行 (CCE) 策略支持容器级完整性和证明。 这些策略规定允许在容器组中运行的组件。 容器运行时强制实施策略。 此策略有助于通过容器级机密保护云作员和内部威胁参与者的数据。
  • 在 AKS 上运行的应用 enclave 感知容器。 AKS 上的机密计算节点使用 Intel SGX 在每个容器应用程序之间的节点中创建隔离的 Enclave 环境。

图示展示了启用机密计算的各种 VM 型号、容器和数据服务。

机密服务

Azure 提供各种平台即服务(PaaS)、软件即服务(SaaS)和支持或基于机密计算构建的 VM 功能:

  • 使用 Azure OpenAI Whisper 模型进行机密推理。 Azure 机密计算通过可信执行环境(TEE)确保数据安全和隐私。 它包括使用 OHTTP 和机密 GPU VM 的加密提示保护、用户匿名性和透明度。
  • Azure Databricks 可帮助你使用机密 VM 为 Databricks lakehouse 带来更多的安全性和更高的机密性。
  • Azure 虚拟桌面 可确保用户的虚拟桌面在内存中加密、受保护且受硬件信任根的支持。
  • Azure Key Vault 托管 HSM 是一种完全托管且具有高度可用性的服务。 使用此单租户、符合标准的云服务通过 FIPS 140-2 级别 3 验证的硬件安全模块(HSM)来保护云应用程序的加密密钥。
  • Azure 证明 是一种远程证明服务,用于验证多个 TEE 的可信度,并验证在 TEE 中运行的二进制文件的完整性。
  • Azure 机密账本 是一个防篡改寄存器,用于存储敏感数据,用于记录保留和审核或在多方方案中实现数据透明度。 它提供“写入一次”Read-Many 保证,使数据不可还原和不可修改。 该服务基于 Microsoft Research Confidential Consortium Framework
  • Azure SQL 中具有安全 Enclave 的 Always Encrypted。 直接在 TEE 内运行 SQL 查询,可以保护敏感数据的机密性,防止恶意软件和高权限未经授权的用户访问数据。

此项目组合根据客户需求扩展。

补充产品/服务

  • 受信任的启动 适用于所有第 2 代 VM。 它带来了强化的安全功能,例如安全启动、虚拟受信任的平台模块和启动完整性监视。 这些安全功能可防范启动工具包、rootkit 和内核级恶意软件。
  • Azure 集成 HSM 目前正在开发中。 Azure 集成 HSM 是满足 FIPS 140-3 级别 3 安全标准的专用 HSM。 它通过启用加密和签名密钥以保留在 HSM 中,而不会造成网络访问延迟,从而提供可靠的密钥保护。 Azure 集成 HSM 通过本地部署的 HSM 服务提供增强的安全性。 它允许加密密钥与来宾和主机软件保持隔离。 它支持大量具有最低延迟的加密请求。 从明年开始,Azure 集成 HSM 将安装在 Microsoft 数据中心的每台新服务器上,以提升 Azure 整个硬件机群的安全防护能力。
  • 受信任的硬件标识管理 是一项服务,用于处理驻留在 Azure 中的所有 TEE 的证书的缓存管理。 它提供受信任的计算基本信息,以强制实施证明解决方案的最低基线。
  • Azure IoT Edge 支持在物联网 (IoT) 设备上的安全 Enclave 内运行的机密应用程序。 IoT 设备很容易遭到篡改和伪造,因为恶意行为者能够以物理方式对其进行访问。 机密 IoT Edge 设备在边缘上添加信任和完整性。 它们保护对设备本身捕获和存储的数据的访问,然后再将其流式传输到云。
  • 机密推理 ONNX 运行时 是一个机器学习推理服务器,用于限制机器学习托管方访问推理请求及其相应响应。

Azure 机密计算新增功能

相关内容