Поделиться через

Доверенные среды выполнения (TEE)

  • Статья

Что такое TEE?

Надежная среда выполнения (TEE) — это сегрегированная область памяти и ЦП, защищенная от остальной части ЦП с помощью шифрования, любые данные в TEE не могут быть прочитаны или изменены любым кодом за пределами этой среды. Данные можно управлять внутри TEE соответствующим авторизованным кодом.

Код, выполняемый внутри TEE, обрабатывается в ясном виде, но отображается только в зашифрованной форме, когда все, что вне пытается получить к нему доступ. Эта защита управляется процессором безопасности платформы, внедренным внутри ЦП.

Image showing the Trusted Compute Base (TCB) concept mapped to Intel SGX and AMD SEV-SNP Trusted Execution Environments

Конфиденциальные вычисления Azure имеют два предложения: один для рабочих нагрузок на основе анклава и один для подъема и смены рабочих нагрузок.

Предложение на основе анклава использует расширения Intel Software Guard (SGX) для создания защищенной области памяти с именем Зашифрованный защищенный кэш (EPC) на виртуальной машине. Это позволяет клиентам выполнять конфиденциальные рабочие нагрузки с строгой защитой данных и гарантиями конфиденциальности. Конфиденциальные вычисления Azure запустили первое предложение на основе анклава в 2020 году.

Предложение по лифту и смене использует AMD SEV-SNP (GA) или Intel TDX (предварительная версия) для шифрования всей памяти виртуальной машины. Это позволяет клиентам переносить существующие рабочие нагрузки в конфиденциальные вычисления Azure без каких-либо изменений кода или снижения производительности.

Многие из этих базовых технологий используются для доставки конфиденциальных служб IaaS и PaaS на платформе Azure, что упрощает внедрение конфиденциальных вычислений в своих решениях.

Новые проекты GPU также поддерживают возможности TEE и могут безопасно сочетаться с решениями ЦП TEE, такими как конфиденциальные виртуальные машины, такие как NVIDIA, предлагающее в настоящее время в предварительной версии , чтобы обеспечить надежный ИИ.

Технические сведения о том, как TEE реализуется в разных аппаратных средствах Azure, доступны следующим образом:

Конфиденциальные Виртуальные машины AMD SEV-SNP (https://www.amd.com/en/developer/sev.html)

Виртуальные машины с поддержкой Intel SGX (https://www.intel.com/content/www/us/en/architecture-and-technology/software-guard-extensions.html)

Виртуальные машины Intel TDX (https://www.intel.com/content/www/us/en/developer/articles/technical/intel-trust-domain-extensions.html)

Оборудование NVIDIA (https://www.nvidia.com/en-gb/data-center/h100/)