微軟將采用英特爾第4代Xeon Scalable處理器，以TDX技術(shù)強(qiáng)化Azure機(jī)密運(yùn)算服務(wù)

在英特爾（Intel）發(fā)布最新的第4代Xeon Scalable處理器的同時(shí)，微軟也宣布將更新自主機(jī)密運(yùn)算云計(jì)算服務(wù)，預(yù)計(jì)在今年稍晚的時(shí)候，就會(huì)借由使用第4代Xeon Scalable處理器的TDX（Trusted Domain Extensions）技術(shù)，推出新的機(jī)密運(yùn)算執(zhí)行實(shí)例，供受高度監(jiān)管的產(chǎn)業(yè)能夠運(yùn)用更具彈性的機(jī)密運(yùn)算功能，在云計(jì)算處理敏感工作負(fù)載。

英特爾在2013年所推出的軟件防護(hù)指令集（Software Guard Extensions，SGX），供用戶運(yùn)用應(yīng)用程序?qū)蛹?jí)的隔離，在本地?cái)?shù)據(jù)中心、公有云甚至是邊緣環(huán)境使用機(jī)密運(yùn)算，最大程度縮小攻擊面。英特爾在2021年所發(fā)布的第3代Xeon Scalable處理器全面支持SGX，而微軟也使用該處理器推出機(jī)密運(yùn)算Azure虛擬機(jī)DCsv3。

Azure機(jī)密運(yùn)算虛擬機(jī)借由SGX安全技術(shù)創(chuàng)建安全區(qū)，在CPU處理資料的同時(shí)維持內(nèi)存加密和隔離性，進(jìn)一步保護(hù)敏感資料，避免這些資料暴露于操作系統(tǒng)、高權(quán)限管理程序甚至是Azure作業(yè)人員。

而英特爾新的虛擬機(jī)隔離技術(shù)TDX，適合用戶將現(xiàn)有應(yīng)用程序，直接移植到機(jī)密環(huán)境中。TDX引入新的架構(gòu)元素，能夠部署稱為受信任區(qū)域的硬件隔離虛擬機(jī)，TDX的目標(biāo)是要分離虛擬機(jī)、虛擬機(jī)管理程序，還有平臺(tái)上非受信任區(qū)域的軟件，以保護(hù)受信任區(qū)域免受其他軟件的影響。

過(guò)去微軟是第一家運(yùn)用帶有英特爾SGX的第3代Xeon Scalable處理器，提供機(jī)密運(yùn)算服務(wù)，官方提到，微軟與英特爾都是機(jī)密運(yùn)算聯(lián)盟（Confidential Computing Consortium）的成員，共同貢獻(xiàn)多項(xiàng)機(jī)密運(yùn)算開(kāi)源項(xiàng)目，而微軟也會(huì)繼續(xù)在Azure中運(yùn)用TDX技術(shù)，提供高端機(jī)密運(yùn)算服務(wù)，擴(kuò)展雙方在機(jī)密運(yùn)算的合作。

TDX能夠用于舉證（Attestation）整個(gè)虛擬機(jī)和容器的安全性，每一個(gè)虛擬機(jī)和容器都有唯一硬件密鑰保護(hù)內(nèi)存。微軟提到，舉證是機(jī)密運(yùn)算的重要概念，使用戶能夠在任何程序代碼訪問(wèn)和處理資料之前，先驗(yàn)證第三方硬件的信任根和軟件堆棧。借由使用TDX，微軟Azure Attestation將會(huì)成為標(biāo)準(zhǔn)功能，擴(kuò)展用戶舉證能力。

微軟解釋，DCsv3虛擬機(jī)使用SGX提供的應(yīng)用程序隔離，以最小信任邊界保護(hù)應(yīng)用程序運(yùn)行，微軟通過(guò)在產(chǎn)品組合加入TDX技術(shù)，便可以在虛擬機(jī)、容器或是應(yīng)用程序?qū)蛹?jí)提供隔離。如此微軟能夠提供更靈活的機(jī)密運(yùn)算服務(wù)，而且通過(guò)在Azure上提供英特爾的機(jī)密運(yùn)算解決方案，能夠滿足用戶在資料主權(quán)和法規(guī)遵守的需求，使得Azure云計(jì)算作業(yè)員無(wú)法讀取，甚至是更改用戶在內(nèi)存中的資料，以進(jìn)一步強(qiáng)化Azure上的安全可信度。