Azure 기밀 컴퓨팅 제품에는 VM(가상 머신) 및 컨테이너, 서비스 및 추가 제품이 포함됩니다.
가상 머신 및 컨테이너
Azure는 AMD SEV-SNP, Intel Trust Domain Extensions(TDX) 및 Intel SGX(Software Guard Extensions)와 같은 강화된 기술에 대한 광범위한 지원을 제공합니다. 모든 기술은 조직이 사용 중인 동안 코드 및 데이터의 무단 액세스 또는 수정을 방지하는 데 도움이 되는 기밀 컴퓨팅의 정의를 충족합니다.
- AMD SEV-SNP를 사용하는 기밀 VM. DCasv5 및 ECasv5 를 사용하면 기존 워크로드를 다시 호스팅할 수 있으며 VM 수준 기밀성을 사용하여 클라우드 운영자로부터 데이터를 보호할 수 있습니다. 4세대 AMD EPYC 프로세서를 기반으로 하는 DCasv6 및 ECasv6 기밀 VM은 현재 제어된 미리 보기로 제공되며 향상된 성능을 제공합니다.
- Intel TDX를 사용하는 기밀 VM. DCesv5 및 ECesv5 를 사용하면 기존 워크로드를 다시 호스팅할 수 있으며 VM 수준 기밀성을 사용하여 클라우드 운영자로부터 데이터를 보호할 수 있습니다.
- GPU(그래픽 처리 장치)가 있는 기밀 VM. NCCadsH100v5 기밀 VM은 GPU와 함께 제공되며 AI 및 기계 학습 작업을 강화하면서 데이터 보안 및 개인 정보를 보장하는 데 도움이 됩니다. 이러한 기밀 VM은 연결된 CPU 및 GPU TEE(신뢰할 수 있는 실행 환경)를 사용하여 CPU의 중요한 데이터를 보호하고 GPU를 사용하여 계산을 가속화합니다. 클라우드 운영자로부터 데이터를 보호하고 고성능 컴퓨팅을 사용해야 하는 조직에 이상적입니다.
- Intel SGX를 사용하는 애플리케이션 Enclave가 있는 VM. DCsv2, DCsv3 및 DCdsv3은 조직에서 하드웨어 enclave를 만들 수 있습니다. 이러한 보안 Enclave는 클라우드 운영자 및 조직의 자체 VM 관리자로부터 VM을 보호하는 데 도움이 됩니다.
- AKS 클러스터에 컨테이너를 다시 호스트할 수 있는 AKS(기밀 VM Azure Kubernetes Service) 작업자 노드입니다. AMD SEV-SNP 하드웨어를 기반으로 하는 작업자 노드는 작업자 노드 수준의 기밀성을 갖춘 클라우드 운영자로부터 데이터를 보호하고 AKS의 구성 유연성을 제공합니다.
- Azure Container Instances의 기밀 컨테이너는 AMD SEV-SNP 하드웨어에서 실행되는 서버리스 컨테이너 인스턴스에 컨테이너를 다시 도입할 수 있습니다. 기밀 컨테이너는 CCE(기밀 컴퓨팅 적용) 정책을 통해 컨테이너 수준 무결성 및 증명을 지원합니다. 이러한 정책은 컨테이너 그룹 내에서 실행할 수 있는 구성 요소를 규정합니다. 컨테이너 런타임은 정책을 적용합니다. 이 정책은 컨테이너 수준 기밀성을 사용하여 클라우드 운영자 및 내부 위협 행위자로부터 데이터를 보호하는 데 도움이 됩니다.
- AKS에서 실행되는 앱 enclave 인식 컨테이너입니다. AKS의 기밀 컴퓨팅 노드는 Intel SGX를 사용하여 각 컨테이너 애플리케이션 간의 노드에 격리된 enclave 환경을 만듭니다.
기밀 서비스
Azure는 기밀 컴퓨팅을 지원하거나 기반으로 하는 다양한 PaaS(Platform as a Service), SaaS(Software as a Service) 및 VM 기능을 제공합니다.
- Azure OpenAI Whisper 모델을 사용한 기밀 추론 Azure 기밀 컴퓨팅은 TEE를 통해 데이터 보안 및 개인 정보를 보장합니다. 여기에는 OHTTP 및 기밀 GPU VM을 사용하여 암호화된 프롬프트 보호, 사용자 익명성 및 투명성이 포함됩니다.
- Azure Databricks를 사용하면 기밀 VM을 사용하여 Databricks Lakehouse에 대한 보안 및 기밀성을 높일 수 있습니다.
- Azure Virtual Desktop 은 사용자의 가상 데스크톱이 메모리에서 암호화되고, 사용 중으로 보호되며, 신뢰의 하드웨어 루트에 의해 지원되도록 합니다.
- Azure Key Vault 관리형 HSM 은 완전히 관리되며 고가용성입니다. 이 단일 테넌트 표준 규격 클라우드 서비스를 사용하여 FIPS 140-2 수준 3의 검증된 HSM(하드웨어 보안 모듈)을 사용하여 클라우드 애플리케이션에 대한 암호화 키를 보호합니다.
- Azure Attestation 은 여러 TE의 신뢰성을 확인하고 TEE 내에서 실행되는 이진 파일의 무결성을 확인하기 위한 원격 증명 서비스입니다.
- Azure 기밀 원장은 기록 보관 및 감사 또는 다중 참여자 시나리오 내 데이터 투명성을 위해 중요한 데이터를 저장하는 변조 방지 레지스터입니다. 한 번 쓰기Read-Many 보장을 제공하여 데이터를 변경하거나 삭제할 수 없게 만듭니다. 이 서비스는 Microsoft Research 기밀 컨소시엄 프레임워크를 기반으로 합니다.
- Azure SQL의 보안 secure를 사용한 Always Encrypted 중요한 데이터의 기밀성은 TEE 내에서 직접 SQL 쿼리를 실행하여 맬웨어 및 높은 권한이 있지만 승인되지 않은 사용자로부터 보호됩니다.
이 포트폴리오는 고객 수요에 따라 확장됩니다.
추가 제품
- 신뢰할 수 있는 시작 은 모든 2세대 VM에서 사용할 수 있습니다. 보안 부팅, 가상 신뢰할 수 있는 플랫폼 모듈 및 부팅 무결성 모니터링과 같은 강화된 보안 기능을 제공합니다. 이러한 보안 기능은 부팅 키트, 루트킷 및 커널 수준 맬웨어로부터 보호합니다.
- Azure 통합 HSM 은 현재 개발 중입니다. Azure 통합 HSM은 FIPS 140-3 수준 3 보안 표준을 충족하는 전용 HSM입니다. 네트워크 액세스 대기 시간 없이 암호화 및 서명 키를 HSM 내에 유지할 수 있도록 하여 강력한 키 보호를 제공합니다. Azure 통합 HSM은 로컬로 배포된 HSM 서비스를 사용하여 향상된 보안을 제공합니다. 암호화 키를 게스트 및 호스트 소프트웨어와 격리된 상태로 유지할 수 있습니다. 최소 대기 시간으로 대량의 암호화 요청을 지원합니다. Azure 통합 HSM은 내년부터 Microsoft 데이터 센터의 모든 새 서버에 설치되어 Azure의 하드웨어 함대에 대한 보호를 강화할 예정입니다.
- 신뢰할 수 있는 하드웨어 ID 관리는 Azure에 있는 모든 TEE에 대한 인증서의 캐시 관리를 처리하는 서비스입니다. 증명 솔루션에 대한 최소 기준을 적용하는 신뢰할 수 있는 컴퓨팅 기본 정보를 제공합니다.
- Azure IoT Edge는 사물 인터넷(IoT) 디바이스의 보안 enclave 내에서 실행되는 기밀 애플리케이션을 지원합니다. IoT 디바이스는 악의적인 행위자가 물리적으로 액세스할 수 있으므로 변조 및 위조에 노출되는 경우가 많습니다. 기밀 IoT Edge 장치는 에지에 신뢰와 무결성을 추가합니다. 클라우드로 스트리밍하기 전에 디바이스 자체에서 캡처하고 저장한 데이터에 대한 액세스를 보호합니다.
- 기밀 유추 ONNX 런타임 은 기계 학습 호스팅 당사자가 추론 요청 및 해당 응답에 액세스하지 못하도록 제한하는 기계 학습 유추 서버입니다.