Microsoft investoi kyberturvallisuuteen miljardi dollaria vuodessa, ja suuri osa tuosta summasta käytetään Microsoft Azuren pitämiseksi luotetuimpana pilvialustana. Datakeskusten tiukat fyysiset turvajärjestelyt, tietosuojan varmistaminen, tietojen salaus säilytettynä ja käytön aikana, koneoppimisen hyödyntäminen uusilla tavoilla uhkien havaitsemiseksi sekä ohjelmistokehityksen elinkaaren tiukka hallinta tekevät kaikki osaltaan Azuresta tietoturvan ja tietosuojan osalta pilvien aatelia.
Microsoft Azure on ensimmäinen pilvipalvelu, joka tarjoaa tietojen turvaamiseen uusia ominaisuuksia ja palveluja Azure Confidential Computing -palvelun kautta. Tämä salatun tietojenkäsittelyn palvelu tuo ensimmäistä kertaa julkiseen pilveen mahdollisuuden salata tiedot käytön aikana. Tämä tarkoittaa, että tietoja voidaan käsitellä pilvessä ja luottaa siihen, että ne ovat aina asiakkaan hallinnassa. Azure-tiimi on työskennellyt yhdessä Microsoft Researchin, Intelin, Windowsin ja Developer Tools -ryhmän kanssa salatun tietojenkäsittelyn ohjelmisto- ja laitteistoteknologioiden parissa yli neljän vuoden ajan.
Media uutisoi lähes päivittäin tietoturvaloukkauksista, joissa hakkerit ovat päässeet käsiksi henkilötietoihin, taloudellisiin tietoihin tai yritysten immateriaaliomaisuuteen. Vaikka monet tietovuodot aiheutuvat heikosta käyttöoikeuksien valvonnasta, useimmat vuodot voidaan jäljittää dataan, johon on päästy käsiksi käytön aikana joko järjestelmänvalvojatilien kautta tai hyödyntämällä salausavaimia, joiden suojaus on murrettu. Kehittyneistä kyberturvallisuusominaisuuksista huolimatta jotkut asiakkaat suhtautuvat varauksellisesti kaikkein arkaluonteisimpien tietojensa siirtämiseen pilveen, koska he pelkäävät tietoturvahyökkäyksiä tietojen käytön aikana. Confidential Computing -palvelun ansiosta asiakkaat voivat siirtää tiedot Azureen ja luottaa siihen, että ne ovat turvassa uhilta sekä säilytettynä että käytön aikana.
Azure Confidential Computing varmistaa, että tietojen ollessa käyttömoodissa, kuten tehokas tietojenkäsittely edellyttää, tiedot suojataan luotetuissa ajoympäristöissä (TEE), joita kutsutaan myös saarekkeiksi (enclave). Ne varmistavat myös, että tietoihin pääsee käsiksi vain hyväksytyllä koodilla. Jos koodia muutetaan tai peukaloidaan, toiminto estetään ja ympäristö poistetaan käytöstä. TEE-ympäristö ylläpitää näitä suojauksia koko koodin suorituksen ajan. Katso esimerkki Azure Confidential Computing -palvelun TEE-ratkaisusta täältä.
Kehitämme Azure Confidential Computing -palvelun myötä alustaa, jonka avulla kehittäjät voivat hyödyntää erilaisia TEE-ympäristöjä koodia vaihtamatta. Microsoft käyttää jo saarekkeita suojaamaan muun muassa rahoituslaitosten lohkoketjutoimintoja, SQL Serveriin tallennettuja tietoja ja omaa Azure-infrastruktuuriamme. Julkistimme elokuussa yritysten lohkoketjujen luottamuksellisuutta parantavan Coco Framework -alustan. Käytämme nyt samaa teknologiaa tietojen käytönaikaisen salauksen käyttöönotossa Azure SQL Database -tietokannoissa ja SQL Server -palvelimissa. Teknologia tehostaa ratkaisujemme Always Encrypted -ominaisuutta, joka takaa, että SQL-tietokannan arkaluontoiset tiedot voidaan salata milloin tahansa vaarantamatta SQL-kyselyiden toimintaa. Always Encrypted siirtää arkaluontoisten tietojen käsittelyn saarekkeeseen, jossa tietojen salaus puretaan ja tiedot prosessoidaan turvallisesti. Käytämme jatkossakin Microsoftin tuotteissa ja palveluissa saarekkeita varmistaaksemme, että käsittelyä vaativat arkaluontoiset tiedot voidaan suojata myös käytön aikana.
SQL Serverin lisäksi Azure Confidential Computing -palvelulla on sovelluskohteita useilla toimialoilla muun muassa rahoituksen, terveydenhuollon ja tekoälyn saralla. Pankki- ja rahoitusalalla esimerkiksi henkilökohtaisen sijoitussalkun tiedot ja varallisuudenhoitostrategiat eivät enää näkyisi TEE-ympäristön ulkopuolelle. Terveydenhuollon organisaatiot voivat jakaa potilasdataa, kuten geenisekvenssejä, saadakseen koneoppimisen avulla syvällisempää tietoa laajempien väestöryhmien terveydentilasta ilman riskiä tietojen vuotamisesta muille organisaatioille. Kaivosalalla ja erilaisissa IoT-skenaarioissa esimerkiksi yrityksen keskeistä immateriaaliomaisuutta edustavat maaperätiedot voidaan siirtää pilveen käsittelyä varten käytönaikaisen salausteknologian suojaamina.
Asiakkaamme voivat kokeilla Azure Confidential Computing -palvelua Early Access -ohjelmassa, joka tarjoaa pääsyn Azure VSM- ja SGX-yhteensopiviin virtuaalikoneisiin sekä työkalut, SDK-ohjelmankehityspaketit sekä Windows- ja Linux-tuen, jotka mahdollistavat kaikkien sovellusten tietojen suojaamisen pilvessä käytön aikana.
Lisätietoja salatusta tietojenkäsittelystä:
- Shielding applications from an untrusted cloud with Haven
- VC3: Trustworthy Data Analytics in the Cloud using SGX
- Oblivious Multi-Party Machine Learning on Trusted Processors
- A Design and Verification Methodology for Secure Isolated Regions
Lisätietoja:
Antti Alila, Cloud & Enterprise Lead, Microsoft
[email protected]