Azure提供安全区装置蓝图，助用户简化边缘机密运算应用

微软和Arm、Scalys BV合作，发布安全区装置蓝图（Enclave Device Blueprint），这项解决方案让边缘运算也可简单地应用机密计算，由于安全区装置（Enclave Device）的设计和操作非常复杂，安全区装置蓝图则能够简化安全区装置的工程设计，以及在物联网中部署机密应用程序。

微软提到，随着物联网的发展，更需要机密运算来保护隐私和安全性，透过被称为可信执行环境（TEE），或是安全区的隔离技术，来强化安全性和防止窜改。

机密运算可以理解成，经过额外强化安全性的传统运算范式，提供运算工作负载和资料更多的保护，传统运算在储存和传输资料时，应用加密技术对运算工作负载、资料和人工智能模型等内容进行加密，并在使用时在内存内解密这些内容，微软认为，这种运作模型在低资料外泄，和恶意窜改风险的环境运作良好，但是在物联网和云端运算环境，需要有更高的隐私和安全标准。

TEE机密运算提供了必要的隔离，以实现隐私和安全性，而微软进一步说明，机密运算上在云端和边缘，主要的区别在于，云端供应商在云中配置和营运必要的基础设施，而物联网解决方案供应商负责安全区装置，而这样的复杂性使得装置开发充满挑战。

而且云端机密运算的基础设施位于资料中心，受许多额外的设施和安全控制保护，但是物联网和安全区装置位于容易持续受到恶意物理攻击的位置，在设计上与传统运算有许多不同的考量。

安全区装置蓝图的目的，便是要维持最高等级的安全性，但同时又要能简化边缘运算使用机密运算的复杂性。安全区装置蓝图包含了专案、资源和指南，可抽象和简化安全区装置的开发，让物联网大规模部署机密应用程序变简单，填补架构和元件之间的差距，与传统运算互补，使得机密运算能够成为物联网的主流范式。

安全区装置蓝图独立于硬件技术、操作系统和解决方案，简单来说，微软邀请社群来解决这个复杂的问题，而参与者都可以透过协作降低成本，目前蓝图所有元件都是开源的，并且社群拥有完整的所有权和治理能力。

该解决方案建构在Azure云端上，使用像是Azure IoT Edge、Azure IoT Hub、Azure Functions以及Azure Key Vault等全托管服务，并且整合安全区装置蓝图的元件，来调度端到端大规模建置任务。