Conteneurs confidentiels Microsoft Azure en préversion publique
Français
Microsoft tire parti des fonctionnalités de sécurité matérielles des processeurs Epyc d’AMD pour ses conteneurs confidentiels exécutés dans Azure, dans le cadre de sa poussée vers l’informatique confidentielle.
Les conteneurs confidentiels sur Azure Container Instances (ACI), la plate-forme informatique confidentielle sans serveur de Microsoft, ont été publiés en avant-première limitée en mai 2022 et cette semaine, la société les a déplacés en avant-première publique, donnant ainsi accès à un plus large éventail d’organisations.
Le service utilise la technologie Secure Encrypted Virtualization and Secure Nested Paging (SEV-SNP) des puces de serveur d’AMD pour sécuriser les charges de travail Linux conteneurisées.
« Les clients Azure se tournent de plus en plus vers des applications cloud natives basées sur des conteneurs pour prendre en charge leurs charges de travail », a écrit Peter Pogorski, chef de produit senior pour Azure Container, dans un article de blog. “Cependant, ces clients recherchent également des options d’hébergement cloud offrant les niveaux de protection des données les plus élevés, ce qui nécessite souvent une gestion et une expertise complexes de l’infrastructure.”
L’informatique confidentielle vise à protéger les données à ce moment vulnérable lorsqu’elles sont utilisées. Les données au repos et en mouvement sont généralement chiffrées ; l’informatique confidentielle le crypte lorsqu’il est utilisé. Comme nous l’avons écrit l’année dernière, il isole les données et le code sensibles et les empêche d’être exposés au reste du système hôte, mais tout aussi important aux menaces internes, aux attaquants extérieurs et aux noyaux et hyperviseurs compromis.
La sécurité basée sur le matériel joue un rôle central dans l’informatique confidentielle, créant un environnement d’exécution sécurisé (TEE) basé sur le matériel pour exécuter des calculs dans une mémoire chiffrée. La technologie SEV-SNP isole le conteneur des hyperviseurs malveillants et fournit une clé gérée par le matériel qui est unique à chaque groupe de conteneurs pour se protéger contre des menaces telles que la relecture des données, la corruption, le remappage et les attaques basées sur des alias.
La plate-forme ACI de Microsoft via les puces AMD Epyc fournissant le TEE basé sur le matériel, qui offre une protection d’exécution pour protéger les données en cours d’utilisation et le code qui est initialisé.
“Les clients peuvent soulever et déplacer leurs applications Linux conteneurisées ou créer de nouvelles applications informatiques confidentielles sans avoir besoin d’adopter des modèles de programmation spécialisés”, a écrit Pogorski. “Les conteneurs confidentiels sur ACI peuvent protéger les données en cours d’utilisation en traitant les données dans une mémoire cryptée.”
Grâce à ACI, les entreprises peuvent utiliser des politiques d’exécution vérifiables pour vérifier l’intégrité de la charge de travail afin de s’assurer qu’aucun code non approuvé ne s’exécute. Des politiques d’initialisation vérifiables garantissent que les utilisateurs contrôlent le logiciel et les actions autorisées lors du lancement d’un conteneur pour se protéger contre les malfaiteurs créant des modifications d’application qui pourraient entraîner des fuites de données et les organisations peuvent créer des politiques d’exécution.
Il existe également une attestation d’invité à distance pour vérifier la fiabilité d’un groupe de conteneurs.
ACI est généralement utilisé pour des charges de travail telles que l’intégration continue, les pipelines de traitement de données et le traitement par lots. Avec des conteneurs confidentiels, l’ACI peut prendre en charge de nouvelles tâches, y compris des salles blanches de données pour l’analyse et la formation à l’apprentissage automatique impliquant plusieurs groupes et l’inférence confidentielle, a-t-il écrit.
La demande d’informatique confidentielle devrait croître rapidement à mesure que le nombre, la vitesse et la sophistication des cyberattaques augmentent. Les analystes d’Everest Group ont écrit [PDF] que le marché adressable total en 2021 était de 2 milliards de dollars et pourrait croître de 90 à 95 % chaque année jusqu’en 2026, tiré en grande partie par des secteurs réglementés comme la finance, la banque, la santé et le secteur public. ®
