Azure 제품
가상 머신 및 컨테이너
Azure는 AMD SEV-SNP, Intel TDX 및 Intel SGX같은 강화된 기술에 대한 광범위한 지원을 제공합니다. 모든 기술은 기밀 컴퓨팅에 대한 정의를 충족하여 조직이 사용 중인 동안 코드 및 데이터의 무단 액세스 또는 수정을 방지할 수 있도록 지원합니다.
AMD SEV-SNP를 사용하는 기밀 VM. DCasv5 및 ECasv5는 기존 워크로드의 리프트 앤 시프트를 사용하도록 설정하고 VM 수준 기밀성을 사용하여 클라우드 운영자로부터 데이터를 보호하는 데 도움이 될 수 있습니다.
Intel TDX를 사용하는 기밀 VM. DCesv5 및 ECesv5는 기존 워크로드의 리프트 앤 시프트를 사용하도록 설정하고 VM 수준 기밀성을 사용하여 클라우드 운영자로부터 데이터를 보호하는 데 도움이 될 수 있습니다.
Intel SGX를 사용하는 Application Enclave가 있는 VM. DCsv2, DCsv3 및 DCdsv3은 조직에서 하드웨어 enclave를 만들 수 있습니다. 이러한 보안 Enclave는 클라우드 운영자 및 사용자 고유의 VM 관리자로부터 보호하는 데 도움이 됩니다.
AKS(Azure Kubernetes Service)에서 실행되는 앱 enclave 인식 컨테이너 AKS의 기밀 컴퓨팅 노드는 Intel SGX를 사용하여 각 컨테이너 애플리케이션 간의 노드에 격리된 enclave 환경을 만듭니다.
기밀 서비스
또한 Azure는 기밀 컴퓨팅을 지원하거나 이를 기반으로 하는 다양한 PaaS, SaaS, VM 기능을 제공합니다. 여기에는 다음이 포함됩니다.
Azure Key Vault 관리형 HSM은 FIPS 140-2 수준 3의 유효성이 검사된 HSM(하드웨어 보안 모듈)을 사용하여 클라우드 애플리케이션용 암호화 키를 보호할 수 있는 완전 관리형 고가용 단일 테넌트 표준 규격 클라우드 서비스입니다.
Azure SQL의 보안 secure를 사용한 Always Encrypted 중요한 데이터의 기밀성은 TEE 내에서 직접 SQL 쿼리를 실행하여 맬웨어 및 높은 권한이 있지만 승인되지 않은 사용자로부터 보호됩니다.
Azure Databricks를 사용하면 기밀 VM을 사용하여 Databricks 레이크하우스에 더 많은 보안과 기밀성을 강화할 수 있습니다.
Azure Virtual Desktop은 사용자의 가상 데스크톱이 메모리에서 암호화되고, 사용 중으로 보호되며, 신뢰의 하드웨어 루트에 의해 지원되도록 합니다.
Microsoft Azure Attestation - 여러 TEE(신뢰 실행 환경)의 신뢰성을 확인하고 TEEs 내에서 실행되는 이진의 무결성을 확인하기 위한 원격 증명 서비스입니다.
신뢰할 수 있는 하드웨어 ID 관리: Azure에 있는 모든 TEE에 대한 인증서의 캐시 관리를 처리하고 증명 솔루션에 대한 최소 기준을 적용하기 위해 TCB(신뢰할 수 있는 컴퓨팅 기반) 정보를 제공하는 서비스입니다.
Azure Confidential Ledger. ACL은 기록 보관 및 감사 또는 다자간 시나리오의 데이터 투명성을 위해 중요한 데이터를 저장하기 위한 변조 방지 레지스터입니다. Write-Once-Read-Many를 보장하여 데이터를 삭제하고 수정할 수 없도록 합니다. 이 서비스는 Microsoft Research의 기밀 컨소시엄 프레임워크를 기반으로 합니다.
추가 제품
Azure IoT Edge는 사물 인터넷(IoT) 디바이스의 보안 enclave 내에서 실행되는 기밀 애플리케이션을 지원합니다. IoT 디바이스는 악의적인 행위자가 물리적으로 액세스할 수 있으므로 변조 및 위조에 노출되는 경우가 많습니다. 기밀 IoT Edge 디바이스는 클라우드로 스트리밍하기 전에 디바이스 자체에 의해 캡처되고 저장된 데이터에 대한 액세스를 보호하여 에지에서 신뢰와 무결성을 추가합니다.
기밀 유추 ONNX 런타임은 ML 호스팅 당사자가 추론 요청과 해당 응답 모두에 액세스하지 못하도록 제한하는 기계 학습(ML) 유추 서버입니다.
신뢰할 수 있는 시작은 부팅 키트, 루트킷 및 커널 수준 맬웨어로부터 보호하는 강화된 보안 기능(보안 부팅, 가상 신뢰할 수 있는 플랫폼 모듈 및 부팅 무결성 모니터링)을 제공하여 모든 2세대 VM에서 사용할 수 있습니다.