你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
受信任执行环境 (TEE)
什么是 TEE?
受信任执行环境 (TEE) 是内存和 CPU 的一个隔离区,使用加密技术与 CPU 的其他部分隔离,TEE 中的任何数据都不能被该环境之外的任何代码读取或篡改。 可以通过适当授权的代码在 TEE 中操作数据。
在 TEE 内部执行的代码是以明文形式处理的,只有当外界尝试访问时才会以加密形式显示。 这种保护由嵌入在 CPU 芯片内的平台安全处理器管理。
Azure 机密计算有两个产品/服务:一个用于基于 enclave 的工作负载,一个用于直接迁移工作负载。
基于 enclave 的产品/服务使用 Intel Software Guard Extensions (SGX) 在 VM 中创建名为“Encrypted Protected Cache (EPC)”的受保护内存区域。 这使客户能够运行敏感的工作负载,并获得强大的数据保护和隐私保障。 Azure 机密计算于 2020 年推出了第一款基于 enclave 的产品/服务。
直接迁移产品/服务使用 AMD SEV-SNP(正式发布)或 Intel TDX(预览版)来加密 VM 的整个内存。 这样,客户就可以将其现有工作负载迁移到 Azure 机密计算,而无需进行任何代码更改或降低性能。
其中许多基础技术用于在 Azure 平台中提供机密 IaaS 和 PaaS 服务,使客户可在解决方案中轻松采用机密计算。
新的 GPU 设计也支持 TEE 功能,并且可以安全地与 CPU TEE 解决方案(如机密虚拟机)结合使用,例如旨在提供值得信赖的 AI 的目前处于预览阶段的 NVIDIA 产品/服务。
有关如何在不同 Azure 硬件上实现 TEE 的技术详细信息,如下所示:
AMD SEV-SNP 机密虚拟机 (https://www.amd.com/en/developer/sev.html)
支持 Intel SGX 的虚拟机 (https://www.intel.com/content/www/us/en/architecture-and-technology/software-guard-extensions.html)
Intel TDX 虚拟机 (https://www.intel.com/content/www/us/en/developer/articles/technical/intel-trust-domain-extensions.html)
NVIDIA 硬件 (https://www.nvidia.com/en-gb/data-center/h100/)