APP下载

微软发表两款新的机密运算虚拟机器DCsv3、DCdsv3

消息来源:baojiabao.com 作者: 发布时间:2024-11-25

报价宝综合消息微软发表两款新的机密运算虚拟机器DCsv3、DCdsv3

微软发布了最新机密运算用Azure虚拟机器DCsv3和DCdsv3,官方提到,DC系列的虚拟机器,使用英特尔SGX(Software Guard Extensions)技术,能够创建安全区,在CPU处理资料的同时,透过维持内存加密和隔离来保护资料,使得资料免于意外暴露给操作系统、权限升级的管理程序,甚至是Azure操作人员。

由于使用第三代英特尔Xeon可扩展处理器,使得DC系列的虚拟机器功能获得明显提升,不只英特尔SGX的安全区页面快取(EPC)容量增加为1,500倍,能够支援更大的工作负载,一般内存也增加至12倍,并且有多达48个CPU核心,能在执行机密运算的同时,维持内存密集工作负载的效能。

DC系列虚拟机器采用英特尔SGX技术,因此可以在粒度安全控制中,提供应用程序层级的隔离,但微软提到,因为用户希望能够使用虚拟机器层级的保护和加密,以便将现有的虚拟机器,直接转移到更安全的基础设施。

因此在最新的DCsv3和DCdsv3虚拟机器,还使用了英特尔全内存加密(Total Memory Encryption)技术,使得用户可以在同一个节点中,全程启用加密功能。因此结合SGX和全内存加密两项功能,用户可以在应用程序安全区中使用机密运算,并且在虚拟机器中的软件,也能获得额外的保护。

新的机密运算虚拟机器还支援Azure证明(Attestation),Azure证明是一个验证程序,可以确保软件二进制档案在可信硬件平台中执行,第三代英特尔Xeon可扩展处理器支援ECDSA证明,能够远端验证SGX安全区身份,而Azure证明支援ECDSA。

另外,微软将要以SGX扩充套件的方式,让AKS也能支援机密运算,官方提到,这个扩展能明显提升机密容器的内存密集工作负载效能,像是资料分析、机器学习训练和推理等

目前DCsv3和DCdsv3虚拟机器会先在East US 2和Central US地区提供,并在接下来数个月内,在预览结束提供正式版本时,扩展到更多的资料中心。

2021-11-03 22:50:00

相关文章