Compartilhar via


Enclaves SGX

A tecnologia SGX da Intel permite que os clientes criem enclaves que protegem os dados e os mantêm criptografados enquanto a CPU os processa.

Enclaves são partes protegidas do processador e da memória de um hardware. Não é possível exibir dados nem código dentro do enclave, mesmo com um depurador. Se um código não confiável tentar alterar algum conteúdo na memória do enclave, o SGX desabilitará o ambiente e negará as operações. Esses recursos exclusivos ajudam a proteger seus segredos contra acesso quando eles não estão criptografados.

Diagrama do modelo de VM mostrando os dados protegidos no enclaves.

Pense em um enclave como um cofre protegido. Você coloca código e dados criptografados dentro do cofre. De fora, você não pode ver nada. Você dá ao enclave uma chave para descriptografar os dados. O enclave processa os dados e os criptografa novamente antes de enviá-los de volta.

A computação confidencial do Azure oferece VMs (máquinas virtuais) da série DCsv2 e da série DCsv3/DCdsv3. Essas VMs têm suporte para o Intel® SGX (Software Guard Extensions).

Cada enclave tem um EPC (cache de página criptografado) com um tamanho definido. O EPC determina a quantidade de memória que um enclave pode conter. VMs da série DCsv2 podem conter até 168 MiB. VMs da série DCsv3/DCdsv3 podem conter até 256 GB para cargas de trabalho com uso intensivo de memória.

Desenvolvendo para enclaves

Você pode usar várias ferramentas de software para desenvolver aplicativos que são executados em enclaves. Essas ferramentas ajudam você a blindar partes de seu código e dados dentro do enclave. Certifique-se de que ninguém fora de seu ambiente confiável possa ver ou modificar seus dados com essas ferramentas.

Próximas etapas