我正在努力将目光围绕Azure机密计算产品。

看来,AWS没有在应用程序级别提供加密(请参阅图表以了解我的意思:)



我的问题是:Azure的机密计算是否本质上是加密的RAM?

#1 楼

您所引用的文章提到了加密RAM,但这仅是对将来进一步增强技术的可能性的参考,而不是关于机密计算的当前状态。
机密计算意味着,在使用数据时这些东西被阻止:



具有管理特权或直接访问在其上处理硬件的恶意内部人员


黑客和恶意软件利用操作系统,应用程序或系统管理程序中的错误的漏洞


第三方未经Microsoft的同意访问该漏洞




自己的公告
,换句话说,它相当于在通信中看到的加密和防火墙,但这次适用于受信任执行环境(TEE)中运行的程序,该术语表示受保护区域当服务器运行程序时。

评论


当您说“容器”时,我不是说码头集装箱吗?

–鹰眼
17-10-8在12:11

没错,容器仅表示包含某物的东西。 Microsoft谈到了可信执行环境(TEE)。我将编辑答案。

–mico
17-10-8在12:32



#2 楼

Azure的机密计算利用英特尔®SGX使应用程序能够在安全区域内运行代码。英特尔软件Gaurd扩展(SGX)使用内存加密引擎,该内存加密引擎使用只能由处理器访问的密钥对将CPU缓存留给RAM的所有安全区数据进行加密,从而防止诸如冷启动,敲击内存总线,等。它还提供了隔离区的地址空间与任何其他实体(包括OS内核和sudo用户)的隔离。