2min

Microsoft heeft een nieuwe functie voor Azure aangekondigd, die de naam confidential computing draagt. Daardoor kunnen applicaties die op Azure draaien data versleuteld houden op het moment dat gebruikers de gegevens gebruiken. Deze vorm van encryptie zorgt ervoor dat zelfs Microsoft-beheerders, overheidsinstanties en hackers niet bij de data kunnen.

Doorgaans vindt de bescherming plaats als de gegevens opgeslagen zijn of verzonden worden. Met confidential computing komt daar dus een nieuwe mogelijkheid bij. Dat gebeurt met twee verschillende modi. Eén daarvan is de Virtual Secure Mode (VSM), de andere gebruikt Software Guard Extensions (een functie uit de Intel Skylake-SP Xeon-processors, ook wel SGX).

VSM-modus

VSM is een op software gebaseerde trusted execution environment (TEE) die in Windows 10 en Windows Server 2016 geïntroduceerd werd. Door VSM zullen de meeste delen van een applicatie draaien op een reguliere virtuele machine bovenop een normaal besturingssysteem. De beschermde TEE-delen draaien apart op een andere virtuele machine die beschikt over een uitgekleed besturingssysteem en de delen van de applicatiecode die gevoelige data moeten verwerken.

Zelfs als een applicatie gecomprimeerd wordt en een aanvaller toegang heeft tot de algemene virtuele machine, zal data niet te bereiken zijn. Hyper-V houdt virtuele machines namelijk gescheiden van elkaar. Om dan nog succes van slagen te hebben, moet een kwaadwillende de Hyper-V zelf comprimeren.

SGX-modus

De SGX-modus gebruikt op zijn beurt processor-features om een TEE uit een regulier proces te halen. Daarbij zijn geen virtuele machines nodig, aangezien de processor zelf gegevens uit het geheugen versleutelt en ontsleutelt. Door alleen nog data te ontsleutelen binnen de processor zelf, is ook de beveiliging van Hyper-V niet meer belangrijk. Het enige waarop een applicatie moet vertrouwen is de processor en diens implementatie van SGX. Door deze manier van encryptie kan ook Microsoft data niet in zien.

Microsoft geeft verder aan te werken aan andere TEE’s. In eerste instantie zal confidential computing beschikbaar zijn met een Early Access-programma. De functionaliteit zal ondersteuning bieden voor virtuele machines die draaien op Windows of Linux.