微軟將采用英特爾第4代Xeon Scalable處理器，以TDX技術(shù)強化Azure機密運算服務(wù)

在英特爾（Intel）發(fā)布最新的第4代Xeon Scalable處理器的同時，微軟也宣布將更新自主機密運算云計算服務(wù)，預(yù)計在今年稍晚的時候，就會借由使用第4代Xeon Scalable處理器的TDX（Trusted Domain Extensions）技術(shù)，推出新的機密運算執(zhí)行實例，供受高度監(jiān)管的產(chǎn)業(yè)能夠運用更具彈性的機密運算功能，在云計算處理敏感工作負載。

英特爾在2013年所推出的軟件防護指令集（Software Guard Extensions，SGX），供用戶運用應(yīng)用程序?qū)蛹壍母綦x，在本地數(shù)據(jù)中心、公有云甚至是邊緣環(huán)境使用機密運算，最大程度縮小攻擊面。英特爾在2021年所發(fā)布的第3代Xeon Scalable處理器全面支持SGX，而微軟也使用該處理器推出機密運算Azure虛擬機DCsv3。

Azure機密運算虛擬機借由SGX安全技術(shù)創(chuàng)建安全區(qū)，在CPU處理資料的同時維持內(nèi)存加密和隔離性，進一步保護敏感資料，避免這些資料暴露于操作系統(tǒng)、高權(quán)限管理程序甚至是Azure作業(yè)人員。

而英特爾新的虛擬機隔離技術(shù)TDX，適合用戶將現(xiàn)有應(yīng)用程序，直接移植到機密環(huán)境中。TDX引入新的架構(gòu)元素，能夠部署稱為受信任區(qū)域的硬件隔離虛擬機，TDX的目標是要分離虛擬機、虛擬機管理程序，還有平臺上非受信任區(qū)域的軟件，以保護受信任區(qū)域免受其他軟件的影響。

過去微軟是第一家運用帶有英特爾SGX的第3代Xeon Scalable處理器，提供機密運算服務(wù)，官方提到，微軟與英特爾都是機密運算聯(lián)盟（Confidential Computing Consortium）的成員，共同貢獻多項機密運算開源項目，而微軟也會繼續(xù)在Azure中運用TDX技術(shù)，提供高端機密運算服務(wù)，擴展雙方在機密運算的合作。

TDX能夠用于舉證（Attestation）整個虛擬機和容器的安全性，每一個虛擬機和容器都有唯一硬件密鑰保護內(nèi)存。微軟提到，舉證是機密運算的重要概念，使用戶能夠在任何程序代碼訪問和處理資料之前，先驗證第三方硬件的信任根和軟件堆棧。借由使用TDX，微軟Azure Attestation將會成為標準功能，擴展用戶舉證能力。

微軟解釋，DCsv3虛擬機使用SGX提供的應(yīng)用程序隔離，以最小信任邊界保護應(yīng)用程序運行，微軟通過在產(chǎn)品組合加入TDX技術(shù)，便可以在虛擬機、容器或是應(yīng)用程序?qū)蛹壧峁└綦x。如此微軟能夠提供更靈活的機密運算服務(wù)，而且通過在Azure上提供英特爾的機密運算解決方案，能夠滿足用戶在資料主權(quán)和法規(guī)遵守的需求，使得Azure云計算作業(yè)員無法讀取，甚至是更改用戶在內(nèi)存中的資料，以進一步強化Azure上的安全可信度。