Partilhar via

Ofertas do Azure

As ofertas de computação confidencial do Azure incluem máquinas virtuais (VMs) e contêineres, serviços e ofertas suplementares.

Máquinas virtuais e contêineres

O Azure fornece o mais amplo suporte para tecnologias reforçadas, como AMD SEV-SNP, Intel Trust Domain Extensions (TDX) e Intel Software Guard Extensions (SGX). Todas as tecnologias atendem à nossa definição de computação confidencial, que é ajudar as organizações a impedir o acesso não autorizado ou a modificação de código e dados durante o uso.

  • Máquinas virtuais confidenciais que usam AMD SEV-SNP. O DCasv5 e o ECasv5 permitem a rehospedagem de cargas de trabalho existentes e ajudam a proteger dados de operadores de nuvem com confidencialidade no nível de VM. As VMs confidenciais DCasv6 e ECasv6 baseadas em processadores AMD EPYC de quarta geração estão atualmente em visualização fechada e oferecem desempenho aprimorado.
  • Máquinas Virtuais confidenciais que usam Intel TDX. O DCesv5 e o ECesv5 permitem a rehospedagem de cargas de trabalho existentes e ajudam a proteger os dados dos operadores de nuvem com confidencialidade no nível da VM.
  • VMs confidenciais com unidades de processamento gráfico (GPUs). As VMs confidenciais NCCadsH100v5 vêm com uma GPU e ajudam a garantir a segurança e a privacidade dos dados, enquanto impulsionam as tarefas de IA e aprendizado de máquina. Essas VMs confidenciais usam ambientes de execução confiáveis (TEEs) de CPU e GPU vinculados para proteger dados confidenciais na CPU e uma GPU para acelerar os cálculos. Eles são ideais para organizações que precisam proteger dados de operadores de nuvem e usar computação de alto desempenho.
  • VMs com enclaves de aplicativos que usam Intel SGX. DCsv2, DCsv3 e DCdsv3 permitem que as organizações criem enclaves de hardware. Esses enclaves seguros ajudam a proteger as VMs dos operadores de nuvem e dos próprios administradores de VM de uma organização.
  • Nós de trabalho confidenciais do Serviço Kubernetes do Azure (AKS) que permitem a rehospedagem de contêineres em clusters AKS. Os nós de trabalho baseados no hardware de SEV-SNP da AMD ajudam a proteger os dados dos operadores de nuvem com confidencialidade no nível do nó de trabalho e fornecem a flexibilidade de configuração do AKS.
  • Contentores confidenciais nas Instâncias de Contentores da Azure que permitem a migração de contentores para instâncias de contentores sem servidor que operam em hardware AMD SEV-SNP. Os contêineres confidenciais oferecem suporte à integridade e ao atestado no nível do contêiner por meio de políticas de aplicação de computação confidencial (CCE). Essas políticas prescrevem os componentes que podem ser executados dentro do grupo de contêineres. O tempo de execução do contêiner impõe a política. Esta política ajuda a proteger os dados do operador de nuvem e dos agentes de ameaças internas com confidencialidade no nível do contêiner.
  • Contêineres com reconhecimento de enclave de aplicativo que são executados no AKS. Os nós de computação confidenciais no AKS usam o Intel SGX para criar ambientes de enclave isolados nos nós entre cada aplicativo de contêiner.

Diagrama que mostra os vários SKUs de VM habilitados para computação confidencial, contêiner e serviços de dados.

Serviços confidenciais

O Azure oferece várias funcionalidades de plataforma como serviço (PaaS), software como serviço (SaaS) e VM que suportam ou são baseadas em computação confidencial:

  • Inferência confidencial com o modelo Azure OpenAI Whisper. A computação confidencial do Azure garante a segurança e a privacidade dos dados através de TEEs. Ele inclui proteção de prompt criptografado, anonimato do usuário e transparência usando OHTTP e VMs GPU confidenciais.
  • O Azure Databricks ajuda você a trazer mais segurança e maior confidencialidade para seu lago Databricks usando VMs confidenciais.
  • A Área de Trabalho Virtual do Azure garante que a área de trabalho virtual de um usuário seja criptografada na memória, protegida no uso e apoiada pela raiz de confiança do hardware.
  • O Azure Key Vault Managed HSM é totalmente gerenciado e altamente disponível. Use este serviço de nuvem de locatário único e compatível com padrões para proteger chaves criptográficas para seus aplicativos em nuvem usando módulos de segurança de hardware (HSMs) validados pelo FIPS 140-2 Nível 3.
  • O Atestado do Azure é um serviço de atestado remoto para validar a confiabilidade de vários TEEs e verificar a integridade dos binários executados dentro dos TEEs.
  • O Azure confidential ledger é um livro-razão inviolável para armazenar dados sensíveis. É utilizado para a manutenção de registos e auditorias ou para garantir a transparência dos dados em cenários de múltiplas partes. Oferece garantias Write-Once-Read-Many, que tornam os dados não apagáveis e não modificáveis. O serviço baseia-se no Microsoft Research Confidential Consortium Framework.
  • Sempre criptografado com enclaves seguros no Azure SQL. A confidencialidade de dados confidenciais é protegida contra malware e usuários não autorizados de alto privilégio executando consultas SQL diretamente dentro de um TEE.

Este portfólio expande-se com base na procura dos clientes.

Ofertas suplementares

  • O Trusted Launch está disponível em todas as VMs de 2ª geração. Ele traz recursos de segurança reforçados, como inicialização segura, módulo de plataforma confiável virtual e monitoramento da integridade da inicialização. Esses recursos de segurança protegem contra kits de inicialização, rootkits e malware no nível do kernel.
  • O Azure Integrated HSM está atualmente em desenvolvimento. O HSM Integrado do Azure é um HSM dedicado que atende aos padrões de segurança FIPS 140-3 Nível 3. Ele fornece proteção de chave robusta, permitindo que as chaves de criptografia e assinatura permaneçam no HSM sem incorrer em latência de acesso à rede. O HSM Integrado do Azure oferece segurança aprimorada com serviços HSM implantados localmente. Ele permite que as chaves criptográficas permaneçam isoladas do software convidado e host. Ele suporta grandes volumes de solicitações criptográficas com latência mínima. O Azure Integrated HSM será instalado em todos os novos servidores nos datacenters da Microsoft a partir do próximo ano para aumentar a proteção em toda a frota de hardware do Azure.
  • O Gerenciamento de Identidades de Hardware Confiável é um serviço que lida com o gerenciamento de cache de certificados para todos os TEEs que residem no Azure. Ele fornece informações de base de computação confiáveis para impor uma linha de base mínima para soluções de atestado.
  • O Azure IoT Edge dá suporte a aplicativos confidenciais que são executados em enclaves seguros em um dispositivo de Internet das Coisas (IoT). Os dispositivos IoT estão frequentemente expostos a adulteração e falsificação porque são fisicamente acessíveis por agentes mal-intencionados. Os dispositivos confidenciais do IoT Edge adicionam confiança e integridade na borda. Eles protegem o acesso aos dados capturados e armazenados dentro do próprio dispositivo antes de transmiti-los para a nuvem.
  • Confidential Inference ONNX Runtime é um servidor de inferência de aprendizado de máquina que restringe a parte de hospedagem de aprendizado de máquina de acessar a solicitação de inferência e sua resposta correspondente.

O que há de novo na computação confidencial do Azure

Conteúdo relacionado