Microsoft lanceert Azure confidential computing

18 september 2017

Microsoft lanceert Azure confi­den­tial computing, een versie van Azure waarbij gegevens die in gebruik zijn versleu­teld blijven. Dit geeft bedrijven de zekerheid dat zowel aanval­lers, over­heids­in­stan­ties of Microsoft de data nooit kunnen inzien. De oplossing maakt gebruik van een Trusted Execution Envi­ron­ment (TEE), die ook wel een enclave wordt genoemd.

Doorgaans wordt versleu­te­ling toegepast op opge­slagen gegevens of data die verzonden worden. Op het moment dat gegevens worden gebruikt zijn deze doorgaans echter ontsleu­teld, wat de data gevoelig maakt voor cyber­aan­vallen. In een blogpost legt Mark Russi­n­o­vich, CTO van Microsoft Azure, uit dat bij veel cyber­aan­vallen dan ook data wordt buit­ge­maakt die op dat moment in gebruik is. Veel bedrijven zijn met het oog hierop dan ook terug­hou­dend met het migreren van hun meest gevoelige data naar de cloud.

Extra zekerheid

Met Azure confi­den­tial computing speelt Microsoft hierop in en wil het bedrijf klanten extra zekerheid bieden. Azure confi­den­tial computing beschermt data tegen:

  • Malafide insiders met beheer­ders­rechten of directe toegang tot hardware waarop gevoelige data wordt verwerkt;
  • Cyber­cri­mi­nelen en malware die kwets­baar­heden in het bestu­rings­sys­teem, de appli­catie of de hyper­visor uitbuiten;
  • Derde partijen die zonder toestem­ming data proberen in te zien.

Bij Azure confi­den­tial computing wordt data in een TEE geplaatst, die ook wel een enclave wordt genoemd. Deze TEE zorgt dat het onmo­ge­lijk is data of verwer­kingen in te zien. Daarnaast zorgt TEE ervoor dat alleen geau­to­ri­seerde code toegang kan verkrijgen tot data. Indien code is aangepast of gema­ni­pu­leerd worden verwer­kingen auto­ma­tisch geblok­keerd en de omgeving uitgeschakeld.

Azure confidential computing (bron: Microsoft)

Virtual Secure Mode of Intel SGX

Twee verschil­lende TEE’s worden door Azure confi­den­tial computing onder­steund: Virtual Secure Mode (VSM) en Intel SGX. VSM is een software-geba­seerde TEE op basis van Hyper‑V in Windows 10 en Windows Server 2016. Met behulp van VSM draait de TEE in een aparte virtuele machine, die gescheiden is van de algemene virtuele machine waarin de appli­catie draait. Indien een aanvaller een appli­catie weet te compri­meren en toegang krijgt tot de algemene virtuele machine, is de gevoelige data van bedrijven hierdoor niet toegan­ke­lijk voor de aanval­lers aangezien deze in een gescheiden virtuele machine wordt verwerkt.

Daarnaast is een hardware-geba­seerde Intel SGX TEE beschik­baar, waarbij een TEE wordt gecreëerd in een regulier proces. Hierbij wordt dus niet gebruik gemaakt van een virtuele machine. Alle data wordt versleu­teld en ontsleu­teld door de processor, wat zeker stelt dat data alleen is ontsleu­teld op het moment dat deze binnen de processor wordt verwerkt. Deze laatste versie is gericht klanten die Azure of Microsoft niet willen opnemen in hun trust model. Microsoft werkt daarnaast samen met Intel en andere hardware- en soft­wa­re­part­ners om andere TEE’s te ontwik­kelen en te ondersteunen.

Early Access programma

Klanten kunnen Azure confi­den­tial computing uitpro­beren via het Early Access programma van Microsoft.

Wouter Hoeffnagel

Freelance IT-journalist en tekstschrijver | IT en industrie

Azure Azure confidential computing encryptie IT security Microsoft

Pin It on Pinterest

Share This