微软发表两款新的机密运算虚拟机器DCsv3、DCdsv3

微软发布了最新机密运算用Azure虚拟机器DCsv3和DCdsv3，官方提到，DC系列的虚拟机器，使用英特尔SGX（Software Guard Extensions）技术，能够创建安全区，在CPU处理资料的同时，透过维持内存加密和隔离来保护资料，使得资料免于意外暴露给操作系统、权限升级的管理程序，甚至是Azure操作人员。

由于使用第三代英特尔Xeon可扩展处理器，使得DC系列的虚拟机器功能获得明显提升，不只英特尔SGX的安全区页面快取（EPC）容量增加为1,500倍，能够支援更大的工作负载，一般内存也增加至12倍，并且有多达48个CPU核心，能在执行机密运算的同时，维持内存密集工作负载的效能。

DC系列虚拟机器采用英特尔SGX技术，因此可以在粒度安全控制中，提供应用程序层级的隔离，但微软提到，因为用户希望能够使用虚拟机器层级的保护和加密，以便将现有的虚拟机器，直接转移到更安全的基础设施。

因此在最新的DCsv3和DCdsv3虚拟机器，还使用了英特尔全内存加密（Total Memory Encryption）技术，使得用户可以在同一个节点中，全程启用加密功能。因此结合SGX和全内存加密两项功能，用户可以在应用程序安全区中使用机密运算，并且在虚拟机器中的软件，也能获得额外的保护。

新的机密运算虚拟机器还支援Azure证明（Attestation），Azure证明是一个验证程序，可以确保软件二进制档案在可信硬件平台中执行，第三代英特尔Xeon可扩展处理器支援ECDSA证明，能够远端验证SGX安全区身份，而Azure证明支援ECDSA。

另外，微软将要以SGX扩充套件的方式，让AKS也能支援机密运算，官方提到，这个扩展能明显提升机密容器的内存密集工作负载效能，像是资料分析、机器学习训练和推理等

目前DCsv3和DCdsv3虚拟机器会先在East US 2和Central US地区提供，并在接下来数个月内，在预览结束提供正式版本时，扩展到更多的资料中心。