问题描述
想要了解Azure的机密计算是否本质上是加密的RAM。他在参考了一篇文章后,对Azure的机密计算提供的功能产生了疑问。
解决方案
请注意以下操作注意版本差异及修改前做好备份。
根据Microsoft的官方公告,Azure的机密计算并不是本质上的加密RAM。机密计算的目标是在数据使用时防止以下情况发生:
– 恶意内部人员具有管理员特权或直接访问正在处理数据的硬件
– 利用操作系统、应用程序或虚拟机监视器中的漏洞的黑客和恶意软件
– 未经他们同意的第三方访问数据
因此,机密计算类似于通信中使用的加密和防火墙,但这次应用于在受信任的执行环境(TEE)中运行的程序。TEE是服务器运行程序时受保护的区域的术语。
Azure的机密计算利用Intel® SGX来实现,以在安全的隔离环境中运行应用程序的代码。Intel Software Guard Extensions(SGX)使用内存加密引擎,使用只有处理器可以访问的密钥,将离开CPU缓存到RAM的任何隔离数据进行加密,以防止冷启动、内存总线窃听等攻击。它还将隔离区域的地址空间与任何其他实体(包括操作系统内核和sudo用户)隔离开来。
因此,Azure的机密计算不仅仅是加密RAM,而是提供了更高级别的安全保护。
参考链接
正文完