A computação confidencial do Azure é essencialmente RAM criptografada?

8

Estou tentando entender a oferta de computação confidencial do Azure .

Parece que a AWS não oferece criptografia no nível do aplicativo (veja o diagrama do que quero dizer com isso :)

insira a descrição da imagem aqui

Minha pergunta é: A computação confidencial do Azure é essencialmente RAM criptografada?

Hawkeye
fonte

Respostas:

6

O artigo que você está referenciando menciona RAM criptografada, mas isso era apenas uma referência às possibilidades de aprimorar a tecnologia mais no futuro, não sobre o estado atual da computação confidencial.

Computação confidencial significa que, quando os dados estão em uso, essas coisas são evitadas:

  • Iniciados maliciosos com privilégio administrativo ou acesso direto ao hardware no qual está sendo processado

  • Hackers e malware que exploram bugs no sistema operacional, aplicativo ou hypervisor

  • Terceiros acessando sem o seu consentimento

de acordo com o anúncio da Microsoft

Portanto, em outras palavras, é equivalente à criptografia e firewall vistos na comunicação, mas desta vez aplicada à execução de programas em um Trusted Execution Environment (TEE), que é o termo para a área protegida quando o servidor executa um programa.

mico
fonte
Quando você diz 'contêiner', entendo que você não quer dizer contêiner de encaixe, certo?
hawkeye
Você está certo, contêiner significa apenas algo que contém sth por dentro. A Microsoft fala sobre o Trusted Execution Environment (TEE). Vou editar minha resposta.
Mico
1

A Computação Confidencial do Azure utiliza o Intel® SGX para permitir que aplicativos executem código dentro de enclaves seguros. As extensões de software Gaurd da Intel (SGX) usam um mecanismo de criptografia de memória que criptografa todos os dados do enclave que deixam o cache da CPU na RAM usando uma chave acessível apenas ao processador, evitando ataques como inicialização a frio, toque no barramento de memória, etc. Também fornece isolamento do espaço de endereço do enclave de qualquer outra entidade (incluindo os usuários do kernel do sistema e do sudo).

crcat
fonte