twobee - Fotolia

Azure Confidential Computing: Cloud-Daten sicher verarbeiten

Mit dem neuen Dienst Azure Confidential Computing verspricht Microsoft die besonders geschützte Verarbeitung und Analyse von Daten in Public-Cloud-Diensten.

Mit Hilfe dies Dienstes Azure Confidential Computing sollen sich Daten für Berechnungen beziehungsweise Machine-Learning-Analysen in einer Public Cloud nutzen lassen, und diese Daten sind während der Verarbeitung besonders geschützt. Will heißen, die Daten seien nicht nur auf dem Transport und bei der Speicherung verschlüsselt, sondern auch während der Verarbeitung selbst geschützt. Damit sei es nicht möglich, dass Dritte Einblick in die Daten erhalten, selbst wenn sie über Administratorenzugänge verfügen würden.

Der neue Dienst soll damit das Risiko von Datendiebstählen oder Hackerangriffen reduzieren. Entsprechende Anwendungsbeispiele führt Microsoft auch an: So könnten Organisationen im Gesundheitswesen Patientendaten für Machine-Learning-Analysen verwenden, ohne dass diese entschlüsselt preisgegeben werden müssen. Organisationen könnten so beispielsweise Datensätze zur Genom-Analyse gemeinsam nutzen, ohne dass die Daten an die andere Organisation weitergegeben werden. Und im Finanzsektor wären personenbezogene Portfoliodaten außerhalb der geschützten Umgebung nicht mehr sichtbar.

Microsoft Azure Confidential Computing
Abbildung 1: Beim Microsoft Azure Confidential Computing unterliegen die zu verarbeitenden Daten einem besonderen Schutz, so dass nur bestimmter Code auf diese Zugriff hat.

Mit dem neuen Azure Confidential Computing Services werden die Daten innerhalb eines so genannten TEE (Trusted Execution Environment) geschützt. Dieses soll verhindern, dass Dritte die Daten sehen können, selbst wenn sie Admin-Rechte haben. In der TEE ist sichergestellt, dass nur bestimmter Code Zugriff auf die Daten erhält. Wird dieser Code verändert, ist keine Verarbeitung der Daten möglich und die Umgebung wird deaktiviert.

Zum Start von Azure Confidential Computing unterstützt Microsoft zwei TEE – Virtual Secure Mode und Intel Software Guard Extension SGX. Beim Virtual Secure Mode (VSM) handelt es sich um ein softwarebasiertes TEE, das über Hyper-V in Windows 10 und Windows Server 2016 implementiert ist. Dabei wird verhindert, dass der auf dem System ausgeführte Administratorcode ebenso wie der lokale oder auch der Cloud-Administrator den Inhalt der VSM-Enklave sehen oder die Ausführung verändern können.

Mit Intel SGX steht eine hardware-basierte TEE zur Verfügung, die auf SGX-fähigen Servern in der Public Cloud läuft. Damit stünden die Dienste auch außerhalb von Azure-basierten Systemen zur Verfügung. Microsoft arbeite mit Intel und weiteren Partnern daran, dieses Modell auf zusätzliche Hardware zu übertragen.

Microsoft setzt bereits beim Schutz von Finanztransaktionen in der Blockchain und innerhalb der Azure-Infrastruktur auf Trusted Execution Environments. Die Technologie, die Microsoft zur Verschlüsselung von Blockchain-Transaktionen über das Coco-Framework bereitgestellt hat, kommt nun auch für Azure-SQL-Datenbanken und SQL Server zum Einsatz.

Microsoft Azure Confidential Computing testen

„Die zunehmende Kreativität von Bedrohungen und die wachsende Komplexität von Cloud-Anwendungen stellen höchste Anforderungen an die Absicherung der Prozesse und Daten in der Cloud“, kommentiert Oliver Gürtler, Senior Director Cloud & Enterprise Business Group bei Microsoft Deutschland. „Microsoft investiert Jahr für Jahr rund eine Milliarde US-Dollar in Cyber-Security. Die neuen Services für den Schutz verschlüsselter und unverschlüsselter Daten sind ein enorm wichtiger Schritt auf diesem Weg.“

Wer Azure Confidential Computing testen möchte, kann sich ab sofort für das Early-Access-Programm registrieren.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close