Azure机密计算Microsoft提升了云数据的安全性

微软已经为一系列称为“机密计算”的Azure安全功能开放了早期访问计划，该计划甚至可以通过访问硬件来保护员工访问数据。新服务的主要数据保护增强功能是在数据使用时对其进行加密，这样可以为可能避免将最敏感数据放入公共云的客户提供更好的保证。该服务针对需要共享高度敏感数据的金融和健康组织。

机密计算侧重于基于硬件的加密，以确保在需要以明文形式处理数据时，该数据位于安全区域或可信执行环境(TEE)中。它正在为Azure SQL数据库和SQL服务器实现所谓的“使用中加密”，它扩展了现有的保护，加密静态和传输中的数据。

Microsoft最初支持Windows虚拟安全模式，这是一种基于软件的TEE，由Windows 10和Windows Server 2016中的Hyper-V实现，以及Azure中支持英特尔软件卫士扩展(SGX)的服务器上的基于硬件的TEE。根据微软首席技术官Mark Russinovich的说法，这些是“公共云中首批支持SGX的服务器”。它还与英特尔合作支持其他TEE。

英特尔向开发人员提供其SGX套件，允许他们在受保护的内存区域中执行应用程序代码。它为数据中心服务器引入了SGX的第7代Intel Core处理器和Intel Xeon处理器E3 v5芯片。

“TEE确保无法从外部查看数据或内部操作，即使使用调试器也是如此。他们甚至确保只允许授权代码访问数据。如果代码被更改或篡改，操作将被拒绝，并且环境禁用.TEE在其中执行代码时强制执行这些保护，“Russinovich解释说。

机密计算旨在保护数据免受恶意内部人员访问硬件的威胁，利用操作系统，应用程序和虚拟机管理程序中的漏洞以及未经授权的第三方访问的外部攻击。

Azure机密计算扩展了微软对其最近宣布的机密区块链网络系统CoCo框架的TEE使用。

它还建立在已经可用的Always Encrypted数据库引擎的基础上，该引擎允许数据所有者查看数据，但可以防止管理数据的人员这样做。此功能允许组织在静态时以及在Azure中存储时加密数据。

Russinovich认为Azure机密计算对于共享财务数据，医疗保健数据和机器学习研究的客户非常有用。

“例如，在金融领域，个人投资组合数据和财富管理战略在TEE之外将不再可见，”他指出。

“医疗保健组织可以通过共享他们的私人患者数据(如基因组序列)进行协作，从机器学习跨多个数据集获得更深入的见解，而不会将数据泄露给其他组织。在石油和天然气以及物联网方案中，敏感的地震数据代表公司的核心知识产权可以转移到云端进行处理，但需要使用加密使用技术。