Microsoft, müşterilerin bulut ortamında yetkili taraflarla veri paylaşma konusunda kendilerini güvende hissetmelerine yardımcı olmak için Azure’da veri korumasından donanımı sorumlu tutuyor. Şirket, Azure’un gizli bilgi işlem tekliflerini vurgulamak için bu hafta Ignite 2022 konferansında bir dizi donanım güvenlik duyurusu yaptı.
Gizli bilgi işlem, esasen şifrelenmiş verileri tutmak için bir kara kutu olan Güvenilir Yürütme Ortamı (TEE) oluşturmayı içerir. Onay adı verilen bir süreçte, yetkili taraflar, önce verileri korumalı alandan çıkarmak zorunda kalmadan şifreyi çözmek ve bilgilere erişmek için kutunun içine kod yerleştirebilir. Donanım korumalı yerleşim, verilerin kurcalanmaya karşı korumalı olduğu ve sunucuya, hiper yöneticiye ve hatta bir uygulamaya fiziksel erişimi olanların bile verilere erişemediği güvenilir bir ortam oluşturur.
Microsoft Azure’un baş teknoloji sorumlusu Mark Russinovich, Ignite’ta “Veri korumasında gerçekten son nokta” dedi.
AMD’nin Epyc’si İle Birlikte
Microsoft’un yeni donanım güvenlik katmanlarından birkaçı, Azure’da dağıtılan Advanced Micro Devices sunucu işlemcisi olan Epyc’de bulunan çip üstü özelliklerden yararlanır.
Böyle bir özellik, bir CPU’dayken AI verilerini şifreleyen SEV-SNP’dir. Makine öğrenimi uygulamaları, verileri bir CPU, hızlandırıcılar, bellek ve depolama arasında sürekli olarak taşır. AMD’nin SEV-SNP’si, yürütme döngüsü boyunca bu bilgilere erişimi kilitlerken, CPU ortamında veri güvenliğini sağlar.
AMD’nin SEV-SNP özelliği, donanımda bulunurken veya hareket ederken verilerin tüm katmanlarda güvende olması için kritik bir boşluğu kapatır. Diğer yonga üreticileri, büyük ölçüde depolama sırasında ve iletişim ağlarında aktarım sırasında verileri şifrelemeye odaklandı, ancak AMD’nin özellikleri, CPU’da işlenirken verileri güvenli hale getiriyor.
Bu, birden fazla avantaj sunar ve şirketler, özel verileri Azure’daki diğer güvenli yerleşim bölgelerinde bulunan üçüncü taraf veri kümeleriyle karıştırabilecektir. SEV-SNP özellikleri, gelen verilerin güvenilir bir taraftan tam olarak olduğundan ve güvenilir olduğundan emin olmak için doğrulama kullanır.
Microsoft Azure’un baş ürün müdürü Amar Gowda, Ignite web yayını sırasında “Bu, daha önce mümkün olmayan net yeni senaryoları ve gizli bilgi işlemi mümkün kılıyor” dedi.
Örneğin bankalar, gizli verileri kimsenin çalmasından korkmadan paylaşabilecekler. SEV-SNP özelliği, şifrelenmiş banka verilerini, diğer kaynaklardan gelen veri kümeleriyle karışabileceği güvenli üçüncü taraf yerleşim bölgesine getirecektir.
Gowda, “Bu onay ve bellek koruması ve bütünlük koruması nedeniyle, verilerin sınırları yanlış ellere bırakmadığından emin olabilirsiniz. Bütün mesele bu platformun üzerinde yeni teklifleri nasıl etkinleştireceğinizle ilgili” dedi.
Sanal Makinelerde Donanım Güvenliği
Microsoft ayrıca bulutta yerel iş yükleri için ek güvenlik ekledi ve SEV-SNP kullanılarak oluşturulan dışa aktarılamayan şifreleme anahtarları, verilerin geçici olduğu ve tutulmadığı yerleşim bölgeleri için mantıklı bir uyum sağlıyor, James Sanders, bulut, altyapı ve kuantum için baş analist. CCS Insight, Dark Reading ile yaptığı bir konuşmada diyor.
Sanders, “Azure Sanal Masaüstü için SEV-SNP, kendi aygıtını getir çalışma alanları, uzaktan çalışma ve yoğun grafikli uygulamalar dahil olmak üzere sanal masaüstü kullanım durumları için ek bir güvenlik katmanı ekliyor” diyor.
Veri gizliliği ve güvenliğine bağlı düzenleme ve uyumluluk sınırlamaları nedeniyle bazı iş yükleri buluta taşınmadı. Microsoft’un baş program yöneticisi Run Cai konferans sırasında yaptığı açıklamada, donanım güvenlik katmanlarının şirketlerin güvenlik duruşlarından ödün vermeden bu tür iş yüklerini taşımasına izin vereceğini söyledi.
Microsoft ayrıca, gizli VM’li Azure sanal masaüstünün, gizli VM’lerde Windows 11 onayını çalıştırabilecek genel önizlemede olduğunu duyurdu.
Cai, “Windows Hello ile güvenli uzaktan erişimi kullanabilir ve ayrıca gizli VM’lerdeki Microsoft Office 365 uygulamalarına güvenli erişim sağlayabilirsiniz.” Dedi.
CCS Insight’tan Sanders, Microsoft’un bu yılın başlarından itibaren AMD’nin SEV-SNP’sinin genel amaçlı VM’lerde kullanımıyla uğraştığını ve bunun iyi bir başlangıç olduğunu söylüyor.
SEV-SNP’nin benimsenmesi, AMD için veri merkezi ve bulut müşterileri arasında da önemli bir doğrulamadır, çünkü daha önceki gizli bilgi işlem çabaları, tüm ana bilgisayar sistemini korumak yerine kısmi güvenli yerleşimlere dayanıyordu.
Sanders, “Bunu yapılandırmak kolay değildi ve Microsoft, silikon içi güvenlik özelliklerinden yararlanan güvenlik çözümleri sağlamayı iş ortaklarına bıraktı” diyor.
Microsoft’tan Russinovich, gizli bilgi işlem için donanım ve kod dağıtımını yönetmek için Azure hizmetlerinin geldiğini söyledi. Bu yönetilen hizmetlerin çoğu, gizli bilgi işlem için Microsoft tarafından geliştirilmiş bir açık kaynak ortamı olan Confidential Consortium Framework’e dayanacaktır.
Russinovich, “Yönetilen hizmet önizleme aşamasında… lastikleri tekmeleyen müşterilerimiz var,” dedi.