Delen via

TEE (Trusted Execution Environment)

  • Artikel

Wat is een TEE?

Een TEE (Trusted Execution Environment) is een gescheiden ruimte van geheugen en CPU die is beveiligd tegen de rest van de CPU met behulp van versleuteling, alle gegevens in de TEE kunnen niet worden gelezen of gemanipuleerd door code buiten die omgeving. Gegevens kunnen in de TEE worden bewerkt door geschikte geautoriseerde code.

Code die in de TEE wordt uitgevoerd, wordt in het duidelijke proces verwerkt, maar is alleen zichtbaar in versleutelde vorm wanneer er iets buiten de TEE wordt geopend. Deze beveiliging wordt beheerd door de platformbeveiligingsprocessor die is ingesloten in de CPU-dobbelsteen.

Image showing the Trusted Compute Base (TCB) concept mapped to Intel SGX and AMD SEV-SNP Trusted Execution Environments

Azure Confidential Computing heeft twee aanbiedingen: één voor enclaveworkloads en één voor lift-and-shift-workloads.

De enclave-aanbieding maakt gebruik van Intel Software Guard Extensions (SGX) om een beveiligde geheugenregio te maken met de naam Encrypted Protected Cache (EPC) binnen een VIRTUELE machine. Hierdoor kunnen klanten gevoelige workloads uitvoeren met sterke garanties voor gegevensbescherming en privacy. Azure Confidential Computing heeft in 2020 de eerste op enclave gebaseerde aanbieding gelanceerd.

De lift-and-shift-aanbieding maakt gebruik van AMD SEV-SNP (GA) of Intel TDX (preview) om het volledige geheugen van een virtuele machine te versleutelen. Hierdoor kunnen klanten hun bestaande workloads migreren naar Azure Confidential Compute zonder codewijzigingen of prestatievermindering.

Veel van deze onderliggende technologieën worden gebruikt voor het leveren van vertrouwelijke IaaS- en PaaS-services in het Azure-platform, waardoor klanten eenvoudig vertrouwelijke computing in hun oplossingen kunnen gebruiken.

Nieuwe GPU-ontwerpen ondersteunen ook een TEE-mogelijkheid en kunnen veilig worden gecombineerd met CPU TEE-oplossingen zoals vertrouwelijke virtuele machines, zoals de NVIDIA-aanbieding die momenteel in preview is om betrouwbare AI te leveren.

Technische informatie over hoe de TEE wordt geïmplementeerd op verschillende Azure-hardware, is als volgt beschikbaar:

AMD SEV-SNP Confidential Virtual Machines (https://www.amd.com/en/developer/sev.html)

Virtuele machines met Intel SGX (https://www.intel.com/content/www/us/en/architecture-and-technology/software-guard-extensions.html)

Intel TDX Virtual Machines (https://www.intel.com/content/www/us/en/developer/articles/technical/intel-trust-domain-extensions.html)

NVIDIA-hardware (https://www.nvidia.com/en-gb/data-center/h100/)