通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

机密计算用例

使用机密计算技术时,可以从主机、虚拟机监控程序、主机管理员,甚至你自己的虚拟机(VM)管理员强化虚拟化环境。根据威胁模型,可以使用各种技术来:

  • 防止未经授权的访问。 在云中运行敏感数据。 信任 Azure 可以提供可能的最好数据保护,且对目前已完成的工作几乎不产生影响。
  • 符合法规合规性。 迁移到云并完全控制数据,以满足政府保护个人信息和保护组织 IP 的法规。
  • 确保在不受信任的环境中实现安全协作。 通过将跨组织(甚至竞争对手)的数据组合在一起,以解锁广泛的数据分析和更深入的见解,解决行业范围的工作规模问题。
  • 隔离处理。 提供一批新产品,可利用盲处理消除对私人数据的责任。 服务提供商无法检索用户数据。

机密计算场景

机密计算适用于保护受管制行业(如政府、金融服务和医疗保健机构)中的数据的各种方案。

例如,防止访问敏感数据有助于保护公民的数字标识免受参与方(包括存储数据的云提供商)的保护。 相同的敏感数据可能包含用于查找和删除儿童剥削的已知图像、防止贩运和协助数字取证调查的生物识别数据。

显示 Azure 机密计算(包括政府、金融服务和医疗保健方案)的用例的屏幕截图。

本文概述了几个常见方案。 本文中的建议是使用机密计算服务和框架开发应用程序的起点。

阅读本文后,可以回答以下问题:

  • Azure 机密计算适用于哪些方案?
  • 将 Azure 机密计算用于多方方案、增强的客户数据隐私和区块链网络有什么好处?

保护多方计算

业务事务和项目协作需要在多个参与方之间共享信息。 通常,共享的数据是机密的。 这些数据可能是个人信息、财务记录、医疗记录或私人公民数据。

公共和专用组织要求其数据不受未经授权的访问的保护。 有时,这些组织还希望保护数据免受计算基础结构作员或工程师、安全架构师、业务顾问和数据科学家的攻击。

例如,通过访问由医疗设备捕获的较大数据集和患者图像,对医疗保健服务的机器学习的使用有了显著增长。 疾病诊断和药物开发受益于多个数据源。 医院和卫生机构可以通过将患者医疗记录与集中式受信任执行环境(TEE)共享来协作。

在 TEE 聚合和分析数据中运行的机器学习服务。 由于基于合并数据集的训练模型,此聚合数据分析可以提供更高的预测准确性。 通过机密计算,医院可以最大程度地降低损害患者隐私的风险。

通过 Azure 机密计算,可以处理来自多个源的数据,而不会向其他方公开输入数据。 这种类型的安全计算可实现诸如洗钱、欺诈检测和安全分析医疗保健数据等方案。

多个源可以将数据上传到 VM 中的一个 enclave。 一方告诉 Enclave 对数据执行计算或处理。 没有任何参与方(即便是执行分析的一方)能够看到其他方上传到封闭空间中的数据。

在安全的多方计算中,加密的数据进入加密区。 enclave 使用密钥对数据进行解密,执行分析,获取结果,并发送回一个加密的结果,一方可以使用指定的密钥进行解密。

反洗钱

在此安全的多方计算示例中,多个银行彼此共享数据,而不会公开其客户的个人数据。 银行在合并的敏感数据集上运行达成一致的分析。 对聚合数据集的分析可以检测多个银行之间的一个用户的资金移动,而无需银行访问彼此的数据。

通过机密计算,这些金融机构可以增加欺诈检测率,解决洗钱方案,减少误报,并继续从更大的数据集中学习。

该图形显示银行的多方数据共享,其中显示了机密计算实现的数据移动。

医疗保健行业的药物研发

合作卫生设施贡献私人健康数据集来训练机器学习模型。 每个设施只能看到其自己的数据集。 其他任何设施,甚至云提供商都看不到数据或训练模型。 所有机构都可通过使用经过训练的模型获益。 使用更多数据创建模型时,模型将变得更加准确。 有助于训练模型的每个设施都可以使用它并接收有用的结果。

显示机密医疗保健场景的示意图,显示场景之间的认证。

使用 IoT 和智能建筑解决方案保护隐私

许多国家/地区对收集和使用建筑物内部人员存在和移动数据有严格的隐私法。 此数据可能包括来自闭路电视(CCTV)或安全徽章扫描的个人身份识别信息。 或者它可能是间接可识别的,但当与不同的传感器数据集组合在一起时,它可以被视为个人身份。

当组织想要了解占用或移动以提供最高效的能源来加热和照明建筑物时,隐私必须与成本和环境需求保持平衡。

要确定各部门的员工未充分利用或过度利用了公司物业的哪些区域,通常需要处理一些个人身份数据以及温度和光线传感器等非个人数据。

在此用例中,主要目标是允许与闭路电视运动跟踪传感器和锁屏提醒数据一起处理占用数据和温度传感器的分析,从而了解使用情况,而无需向任何人公开原始聚合数据。

此处使用机密计算,方法是将分析应用程序置于 TEE 中,其中正在使用的数据受加密保护。 在此示例中,应用程序在 Azure 容器实例上的机密容器上运行。

来自许多类型的传感器和数据馈送的聚合数据集在具有具有安全 enclave 功能的 Always Encrypted 的 Azure SQL 数据库中进行管理。 此功能通过在内存中加密查询来保护正在使用的查询。 在查询和分析聚合数据集时,将阻止服务器管理员访问该数据集。

显示多种传感器向 TEE 内的分析解决方案提供数据的示意图。操作员无权访问 TEE 内正在使用的数据。

法律或法规要求通常应用于 FSI 和医疗保健,以限制处理和存储某些工作负载的静态位置。

在此用例中,Azure 机密计算技术用于 Azure Policy、网络安全组(NSG)和Microsoft Entra 条件访问,以确保为重新托管现有应用程序满足以下保护目标:

  • 应用程序通过使用机密计算在使用时免于云运营商的侵害。
  • 应用程序资源仅部署在西欧 Azure 区域。
  • 使用新式身份验证协议进行身份验证的应用程序使用者将映射到要从中连接的主权区域。 除非他们位于允许的区域,否则访问会被拒绝。
  • 使用管理协议(例如远程桌面协议和安全外壳协议)进行的访问仅限于从与 Privileged Identity Management (PIM) 集成的 Azure Bastion 进行。 PIM 策略需要一个Microsoft Entra 条件访问策略,用于验证管理员从中访问的主权区域。
  • 所有服务都会将操作记录到 Azure Monitor。

此图表显示了受 Azure 机密计算服务保护的工作负荷,并与 Azure 配置(包括 Azure Policy 和 Microsoft Entra 条件访问)相结合。

制造:知识产权保护

制造组织保护其制造流程和技术周围的 IP。 通常,制造业外包给处理物理业务流程的非Microsoft方。 这些公司可以被视为恶意环境,在这些环境中存在窃取该 IP 的积极威胁。

在此示例中,Tailspin Toys 正在开发一条新的玩具线。 其玩具的特定尺寸和创新设计是专有的。 该公司希望确保设计的安全性,同时在选择哪家公司生产原型方面保持灵活。

Contoso 是一家高质量的 3D 打印和测试公司,提供用于大规模打印原型的系统,并对这些原型进行必要的安全测试以获得安全审批。

Contoso 在 Contoso 租户中部署客户管理的容器化应用程序和数据,该租户通过 IoT 类型 API 使用其 3D 打印机械。

Contoso 使用物理制造系统的遥测数据来驱动其计费、计划和材料订购系统。 Tailspin Toys 使用其应用程序套件中的遥测数据来确定其玩具的制造成功率和缺陷率。

Contoso 操作员可使用通过 Internet 提供的容器映像将 Tailspin Toys 应用程序套件加载到 Contoso 租户中。

Tailspin Toys 配置策略要求在启用了机密计算的硬件上进行部署。 因此,所有 Tailspin Toys 应用程序服务器和数据库在 Contoso 管理员使用时都受到保护,即使它们在 Contoso 租户中运行也是如此。

例如,Contoso 的流氓管理员可能会尝试将 Tailspin Toys 提供的容器移动到无法提供 TEE 的常规 x86 计算硬件。 此行为可能意味着机密 IP 的潜在泄露。

在这种情况下,如果证明调用显示无法满足策略要求,Azure 容器实例策略引擎将拒绝释放解密密钥或启动容器。 Tailspin Toys IP 在使用和静止状态时受到保护。

Tailspin Toys 应用程序本身编码为定期调用证明服务,并通过 Internet 将结果报告回 Tailspin Toys,以确保存在持续的安全状态检测信号。

证明服务返回来自支持Contoso租户的硬件的加密签名详细信息,以验证工作负载是否按预期在机密区中运行。 该认证超出 Contoso 管理员的控制范围,建立在机密计算提供的硬件信任根基础上。

此图显示了一个服务提供商在 TEE 内运行来自玩具制造商的工业控制套件。

增强的客户数据隐私

尽管 Azure 提供的安全级别很快成为云计算采用的主要驱动因素之一,但客户仍信任其提供商的不同程度。 客户要求:

  • 针对敏感工作负载配备最少的硬件、软件和运行可信计算基 (TCB)。
  • 依靠技术强制执行,而不仅仅是业务策略和流程。
  • 知晓其获得的保障、残留风险和缓解措施。

机密计算允许客户对用于运行其云工作负荷的 TCB 进行增量控制。 客户可以精确地定义哪些硬件和软件有权访问其工作负载(包括数据和代码)。 Azure 机密计算提供了可验证地强制实施此保证的技术机制。 简而言之,客户对其机密保留完全控制权。

数据主权

在政府和公共机构中,Azure 机密计算提高了对解决方案在公有云中保护数据主权的能力的信任程度。 由于将机密计算功能日益采用到 Azure 中的 PaaS 服务中,实现了更高的信任度,从而降低了公有云服务提供的创新能力。

Azure 机密计算是对政府服务主权和数字化转型需求的有效响应。

减少信任链

由于在机密计算方面的投资和创新,云服务提供商现已被从信任链中较大程度地移除。

机密计算可以扩展符合公有云部署条件的工作负荷数。 结果是快速采用公共服务进行迁移和新工作负载,从而改善客户的安全状况,并快速实现创新方案。

创建自己的密钥 (BYOK) 方案

采用 Azure Key Vault 托管 HSM 等硬件安全模块(HSM)可以安全地将密钥和证书传输到受保护的云存储。 使用 HSM 时,不允许云服务提供商访问此类敏感信息。

正在传输的机密永远不会以纯文本形式存在于 HSM 外部。 客户端生成和管理的密钥和证书主权的方案仍可使用基于云的安全存储。

保护区块链

区块链网络是节点的分散网络。 这些节点由想要确保完整性并就网络状态达成共识的作员或验证程序运行和维护。 节点是账本的副本,用于跟踪区块链事务。 每个节点都有事务历史记录的完整副本,这有助于确保分布式网络中的完整性和可用性。

基于机密计算的区块链技术可以使用基于硬件的隐私来实现数据机密性和安全计算。 在某些情况下,整个账本是加密的,以保护数据访问。 有时,事务可能发生在节点内的隔离区里的计算模块中。