微軟已經(jīng)為一系列稱為“機(jī)密計(jì)算”的Azure安全功能開(kāi)放了早期訪問(wèn)計(jì)劃，該計(jì)劃甚至可以通過(guò)訪問(wèn)硬件來(lái)保護(hù)員工訪問(wèn)數(shù)據(jù)。新服務(wù)的主要數(shù)據(jù)保護(hù)增強(qiáng)功能是在數(shù)據(jù)使用時(shí)對(duì)其進(jìn)行加密，這樣可以為可能避免將最敏感數(shù)據(jù)放入公共云的客戶提供更好的保證。該服務(wù)針對(duì)需要共享高度敏感數(shù)據(jù)的金融和健康組織。

機(jī)密計(jì)算側(cè)重于基于硬件的加密，以確保在需要以明文形式處理數(shù)據(jù)時(shí)，該數(shù)據(jù)位于安全區(qū)域或可信執(zhí)行環(huán)境(TEE)中。它正在為Azure SQL數(shù)據(jù)庫(kù)和SQL服務(wù)器實(shí)現(xiàn)所謂的“使用中加密”，它擴(kuò)展了現(xiàn)有的保護(hù)，加密靜態(tài)和傳輸中的數(shù)據(jù)。

Microsoft最初支持Windows虛擬安全模式，這是一種基于軟件的TEE，由Windows 10和Windows Server 2016中的Hyper-V實(shí)現(xiàn)，以及Azure中支持英特爾軟件衛(wèi)士擴(kuò)展(SGX)的服務(wù)器上的基于硬件的TEE。根據(jù)微軟首席技術(shù)官M(fèi)ark Russinovich的說(shuō)法，這些是“公共云中首批支持SGX的服務(wù)器”。它還與英特爾合作支持其他TEE。

英特爾向開(kāi)發(fā)人員提供其SGX套件，允許他們?cè)谑鼙Ｗo(hù)的內(nèi)存區(qū)域中執(zhí)行應(yīng)用程序代碼。它為數(shù)據(jù)中心服務(wù)器引入了SGX的第7代Intel Core處理器和Intel Xeon處理器E3 v5芯片。

“TEE確保無(wú)法從外部查看數(shù)據(jù)或內(nèi)部操作，即使使用調(diào)試器也是如此。他們甚至確保只允許授權(quán)代碼訪問(wèn)數(shù)據(jù)。如果代碼被更改或篡改，操作將被拒絕，并且環(huán)境禁用.TEE在其中執(zhí)行代碼時(shí)強(qiáng)制執(zhí)行這些保護(hù)，“Russinovich解釋說(shuō)。

機(jī)密計(jì)算旨在保護(hù)數(shù)據(jù)免受惡意內(nèi)部人員訪問(wèn)硬件的威脅，利用操作系統(tǒng)，應(yīng)用程序和虛擬機(jī)管理程序中的漏洞以及未經(jīng)授權(quán)的第三方訪問(wèn)的外部攻擊。

Azure機(jī)密計(jì)算擴(kuò)展了微軟對(duì)其最近宣布的機(jī)密區(qū)塊鏈網(wǎng)絡(luò)系統(tǒng)CoCo框架的TEE使用。

它還建立在已經(jīng)可用的Always Encrypted數(shù)據(jù)庫(kù)引擎的基礎(chǔ)上，該引擎允許數(shù)據(jù)所有者查看數(shù)據(jù)，但可以防止管理數(shù)據(jù)的人員這樣做。此功能允許組織在靜態(tài)時(shí)以及在Azure中存儲(chǔ)時(shí)加密數(shù)據(jù)。

Russinovich認(rèn)為Azure機(jī)密計(jì)算對(duì)于共享財(cái)務(wù)數(shù)據(jù)，醫(yī)療保健數(shù)據(jù)和機(jī)器學(xué)習(xí)研究的客戶非常有用。

“例如，在金融領(lǐng)域，個(gè)人投資組合數(shù)據(jù)和財(cái)富管理戰(zhàn)略在TEE之外將不再可見(jiàn)，”他指出。

“醫(yī)療保健組織可以通過(guò)共享他們的私人患者數(shù)據(jù)(如基因組序列)進(jìn)行協(xié)作，從機(jī)器學(xué)習(xí)跨多個(gè)數(shù)據(jù)集獲得更深入的見(jiàn)解，而不會(huì)將數(shù)據(jù)泄露給其他組織。在石油和天然氣以及物聯(lián)網(wǎng)方案中，敏感的地震數(shù)據(jù)代表公司的核心知識(shí)產(chǎn)權(quán)可以轉(zhuǎn)移到云端進(jìn)行處理，但需要使用加密使用技術(shù)。