Sdílet prostřednictvím

Důvěryhodné spouštěcí prostředí (TEE)

  • Článek

Co je TEE?

Důvěryhodné spouštěcí prostředí (TEE) je oddělená oblast paměti a procesoru, která je chráněná od zbytku procesoru pomocí šifrování, žádná data v TEE se nedají číst ani manipulovat žádným kódem mimo toto prostředí. Data je možné manipulovat uvnitř TEE vhodně autorizovaným kódem.

Kód, který se spouští uvnitř TEE, se zpracovává v jasné podobě, ale je viditelný pouze v šifrované podobě, když se k němu někdo mimo pokusí získat přístup. Tuto ochranu spravuje procesor zabezpečení platformy vložený do kostky procesoru procesoru.

Image showing the Trusted Compute Base (TCB) concept mapped to Intel SGX and AMD SEV-SNP Trusted Execution Environments

Důvěrné výpočetní prostředí Azure nabízí dvě nabídky: jednu pro úlohy založené na enklávě a druhou pro úlohy metodou "lift and shift".

Nabídka založená na enklávě používá rozšíření Intel Software Guard Extensions (SGX) k vytvoření chráněné oblasti paměti s názvem Encrypted Protected Cache (EPC) v rámci virtuálního počítače. To zákazníkům umožňuje spouštět citlivé úlohy se silnou ochranou dat a zárukou ochrany osobních údajů. Důvěrné výpočetní prostředí Azure spustilo první nabídku založenou na enklávě v roce 2020.

Nabídka metodou lift and shift používá k šifrování celé paměti virtuálního počítače AMD SEV-SNP (GA) nebo Intel TDX (Preview ). To zákazníkům umožňuje migrovat své stávající úlohy do důvěrných výpočetních prostředků Azure bez jakýchkoli změn kódu nebo snížení výkonu.

Mnohé z těchto základních technologií se používají k poskytování důvěrných služeb IaaS a PaaS na platformě Azure, což zákazníkům usnadňuje přijímání důvěrných výpočetních operací ve svých řešeních.

Nové návrhy GPU také podporují funkci TEE a dají se bezpečně kombinovat s řešeními procesoru TEE, jako jsou důvěrné virtuální počítače, jako je například nabídka NVIDIA, která je aktuálně ve verzi Preview , aby poskytovala důvěryhodnou AI.

Technické podrobnosti o implementaci TEE napříč různými hardwaremi Azure jsou k dispozici následujícím způsobem:

Důvěrné virtuální počítače AMD SEV-SNP (https://www.amd.com/en/developer/sev.html)

Virtuální počítače s podporou Intel SGX (https://www.intel.com/content/www/us/en/architecture-and-technology/software-guard-extensions.html)

Intel TDX Virtual Machines (https://www.intel.com/content/www/us/en/developer/articles/technical/intel-trust-domain-extensions.html)

Hardware NVIDIA (https://www.nvidia.com/en-gb/data-center/h100/)