應用程式記憶體保護區
應用程式記憶體保護區,例如 Intel SGX,是隔離的環境,可保護特定程式代碼和數據。 建立記憶體保護區時,您必須判斷應用程式的何種部分會在記憶體保護區內執行。 當您建立或管理記憶體保護區時,請務必針對所選部署堆疊使用相容的 SDK 和架構。
注意
如果您尚未閱讀 Intel SGX VM 和記憶體保護區的簡介,請先閱讀這篇文章再進行開發。
Microsoft 機制
開發應用程式
在以記憶體保護區建置的應用程式中有兩個分割區。
主機是「不受信任的」元件。 記憶體保護區應用程式會在主機頂端執行。 主機是不受信任的環境。 當您在主機上部署記憶體保護區程式碼時,主機會無法存取該程式碼。
記憶體保護區是「受信任的」元件。 應用程式程式碼和其快取資料與記憶體,會在記憶體保護區中執行。 記憶體保護區環境可保護您的秘密和敏感性資料。 請確定您的安全計算是在記憶體保護區中運行。
若要使用記憶體保護區和隔離環境的強大功能,請選擇可支援機密運算的工具。 許多工具皆可支援記憶體保護區應用程式開發。 例如,您可使用下列開放原始碼的架構:
當您設計應用程式時,請識別並判斷在記憶體保護區中執行的所需部分。 受信任元件中的程式碼,會與您應用程式的其餘部分隔離。 在記憶體保護區初始化且程式碼載入記憶體之後,不受信任的元件就無法讀取或變更該程式碼。