Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
När du använder en betrodd körningsmiljö (TEE) skyddar du din kod och dina data i en säker miljö.
Vad är en TEE?
En betrodd körningsmiljö är ett avgränsat område med minne och cpu som skyddas från resten av processorn med hjälp av kryptering. Någon kod utanför den miljön kan inte läsa eller manipulera data i TEE. Auktoriserad kod kan ändra data i TEE.
Kod som körs i TEE bearbetas i klartext, men den visas endast i krypterad form när något utanför försöker komma åt den. Plattformssäkerhetsprocessorn som är inbäddad i CPU-matrisen hanterar det här skyddet.
Konfidentiell databehandling i Azure har två erbjudanden: ett för att byta värd för arbetsbelastningar och ett för enklaverbaserade arbetsbelastningar för specialutvecklade program.
Rehosting-erbjudandet använder AMD-SEV-SNP (allmän tillgänglighet) eller Intel Trust Domain Extensions (TDX) (förhandsversion) för att kryptera hela minnet för en virtuell dator. Kunder kan migrera sina befintliga arbetsbelastningar till konfidentiell azure-databehandling utan kodändringar eller prestandaförsämring. Det här erbjudandet stöder arbetsbelastningar för virtuella datorer (VM) och containrar.
Det enclave-baserade erbjudandet innehåller CPU-funktioner som gör det möjligt för kundkod att använda Intel Software Guard Extensions (SGX) för att skapa en skyddad minnesregion kallad Encrypted Protected Cache inom en virtuell dator. Kunder kan köra känsliga arbetsbelastningar med starka dataskydds- och sekretessgarantier. Konfidentiell databehandling i Azure introducerade det första enklaverbaserade erbjudandet 2020. Kundprogram måste utvecklas specifikt för att dra nytta av den här dataskyddsmodellen.
Båda dessa underliggande tekniker används för att leverera konfidentiell infrastruktur som en tjänst (IaaS) och paaS-modeller (plattform som en tjänst) i Azure-plattformen, vilket gör det enkelt för kunderna att använda konfidentiell databehandling i sina lösningar.
Nya GPU-designs (grafikprocessorenhet) har också stöd för en TEE-möjlighet. Du kan på ett säkert sätt kombinera GPU:er med CPU TEE-lösningar som konfidentiella virtuella datorer, till exempel NVIDIA-erbjudandet som för närvarande är i förhandsversion, för att leverera tillförlitlig AI.
Relaterat innehåll
Teknisk information om hur TEE implementeras i olika Azure-maskinvara finns i: