Azure confidential computing 架構圖(來自:Microsoft)
微軟首席技術官 Mark Russinovich 在 Cloud Strategy 博客中贊揚瞭與 AMD 達成的新合作,宣稱雙方關系的進一步擴展,能夠為 Azure 客戶帶來切實可用的機密計算選項。
更重要的是,微軟也是首傢提供基於 AMD 新一代 EPYC 7003 系列服務器處理器 + 可信賴計算(Confidential Computing)的大型雲服務提供商。
作為現有方案(比如 Azure 容器服務)的補充,新合作為打造新的機密應用程序提供瞭可能。且客戶無需修改任何代碼,從而極大地簡化瞭構建配套應用程序的過程。
作為這套解決方案的關鍵推動因素,AMD 提供瞭包括安全加密虛擬化、安全嵌套分頁(SEV-SNP)等在內的高級安全特性。
後者可用於創建受信任的執行環境,為虛擬機客戶提供更全面的保護,且在 AMD 第三代霄龍(EPYC)處理器上得到瞭顯著增強。
Russinovich 補充道,基於 AMP EPYC CPU 的 Azure 虛擬機將以完全加密的形式來運行,且能夠生成專用的 VM 加密密鑰。
同時新密鑰生成過程可大幅減少手動設置幹預,對消費者和企業客戶而言都是一個巨大的吸引力。
此外 Azure 將提供證明服務,在收集瞭正確的硬件環境線索之後,可向 Azure Key Vault 提供加密信號。僅當環境處於已知狀態時,它才會安全釋放虛擬機鏡像的解密密鑰。
值得一提的是,AMD 第三代霄龍服務器 CPU 還支持本地硬件用戶加密整個虛擬機,而無需重新編譯代碼,同時可利用 Azure 不斷發展的配套安全措施。
最後,微軟與 AMD 的擴展合作有望讓 VM 在三代霄龍平臺上更加安全,且不易受到 Bootkit、Rootkit、以及內核級惡意軟件的攻擊。
留言列表
