Azure Confidential Computing buludda məlumatların istifadə zamanı (in-use) qorunmasını təmin edən unikal texnologiyadır. Ənənəvi olaraq məlumatlar yalnız iki halda qorunur: saxlanılarkən (diskdə şifrələmə) və ötürülərkən (şəbəkədə TLS/SSL). Confidential Computing isə məlumatlar emal edilir (prosessor üzərində hesablamalar gedir) zaman da tam məxfi saxlanılmasını hədəfləyir. Bu məqsədlə Azure, xüsusi hardware əsaslı təhlükəsiz icra mühiti (TEE – Trusted Execution Environment) yaradır. Bu mühit “enklav” adlanır və orada kod və verilənlər şifrəli şəkildə izolyasiya olunur. Hətta bulud provayderinin özü (Microsoft adminləri) belə, həmin enclaveda gedən prosesləri görüb oxuya bilməz. Nəticədə, çox həssas şəxsi məlumatlar (məsələn, maliyyə məlumatları, səhiyyə məlumatları və s.) buludda emal olunsa belə, tam qorunur.
Azure Confidential Computing-in əsas komponentləri Confidential VMs və Application Enclavesdir. Confidential VM-lər AMD EPYC prosessorlarının Secure Encrypted Virtualization (SEV) və ya Intel-in Trust Domain Extensions (TDX) texnologiyalarından istifadə edərək VM yaddaşını real vaxt rejimində şifrələyir. Bu o deməkdir ki, VM-in RAM-ində olan məlumatlar host əməliyyat sistemi tərəfindən açıla bilmir – yəni hypervizor səviyyəsində olsa belə, məlumatlar şifrlidir. Application Enclave-lər isə Intel SGX kimi texnologiyalarla birbaşa tətbiq kodunun bəzi hissələrini mikro səviyyədə qoruyur: kod və məlumat çox kiçik bir yaddaş bölgəsində (enklavada) deşifrə olunur, vəz digər hər yerdə şifrəli qalır. Bir nümunə: Tətbiq serveri istifadəçilərin şəxsi məlumatları üzərində əməliyyat aparırsa, həmin hissəni enclaveda icra etmək olar – beləcə serverdə virus olsa belə və ya kimsə debug etməyə çalışsa belə, enclava daxilindakı məlumatı oxumaq mümkün olmayacaq.
Azure-də hazırda Confidential Computing üçün bir neçə xidmət var: – DCsv3/DCdsv3 seriyalı VM-lər – Intel SGX enclavaları dəstəkləyən VM-lərdir. Bunların hər birində müəyyən yaddaş enclava üçün ayrılır (məsələn, DCsv2 VM-lərdə ~128 MB enclava yaddaşı var idi). Bu VM-lərdə xüsusi SDK (Open Enclave SDK) istifadə edərək tətbiq kodunun hissələrini enclavada işlətmək mümkündür. Məsələn, Always Encrypted funksionallığı ilə SQL Server bu enclavadan yararlanır – sorğu icra zamanı şifrli sütunları deşifrə edib hesablamanı enclavada aparır, nəticəni yenidən şifrələyir. – Confidential VMs (SEV-SNP) – AMD-nin son gen EPYC prosessorlarına əsaslanan VM-lərdir. Bu VM-lər tətbiq dəyişiklik tələb etmədən tam yaddaşı şifrələyir. Yəni istənilən mövcud workload-u confidential VM-ə köçürməklə, məlumatların bulud adminindən qorunmasını təmin etmək olur. – Confidential konteynerlər – Azure Kubernetes Service (AKS) üzərində confidential node-lar mövcuddur. Bu node-ların hər bir pod-u enclavada işə düşür. Beləliklə, konteyner içindəki məlumatlar host OS-dən qorunur. Bu xüsusilə multi-tenant AKS klasterlər üçün önəmlidir. – Azure Confidential Ledger, Azure Managed HSM kimi xüsusi xidmətlər – bunlar da confidential computing prinsiplərindən yararlanır. Məsələn, Managed HSM – tam FIPS 140-3 Level 3 sertifikatlı avadanlıqda açarları saxlayır, Azure administratoru belə o HSM-dəki açara çıxış əldə edə bilmir (yalnız müştərinin kontrolunda olur).
Azure Confidential Computing-in praktiki faydası odur ki, şirkətlər buluda etibar edib ən həssas yüklərini də miqrasiya edə bilərlər – çünki məlumatlar emal zamanı belə bulud provayderindən gizli qalır. Məsələn, bir neçə təşkilat birlikdə şifrələnmiş dataset-lərini bir araya gətirib AI modeli təlim edə bilər (multi-party computation), ancaq heç biri bir-birinin xam məlumatlarını görməz. Və ya hökumət qurumu buluda köçsə də, confidential computing sayəsində tənzimləyici tələblərə uyğun olaraq məlumatlarına yalnız öz tətbiqinin (enclaveda işləyən) çıxışı olduğunu sübut edə bilər.
Confidential Computing ekosisteminin bir hissəsi də Microsoft Azure Attestation (MAA) xidmətidir – bu, enclavaların autentifikasiyası üçündür. Yəni uzaqdan sübut etmək olur ki, həqiqətən kod SGX/SEV mühitində, dəyişdirilməmiş halda işləyir. Bu, qarşılıqlı etimad üçün kritikdir: müştərinin tətbiqi buludda işə düşəndə, müştəri MAA vasitəsilə “quote” alıb yoxlaya bilir ki, bəli, kod etibarlı enclavada işləyir.
Beləliklə, Azure Confidential Computing fərdi məlumatların tam qorunması üçün buludda yeni bir təhlükəsizlik qatıdır. Bu texnologiya sayəsində bulud əməliyyatçıları, sistem adminləri, hətta OS özü belə, proses zamanı verilənləri görə bilmir. Müşahidəçilər yalnız şifrli yaddaş görürlər. Bu, xüsusən maliyyə, səhiyyə, dövlət sektoru kimi sahələrdə inqilabi yenilikdir, çünki bulud infrastrukturuna güvənərək çox məxfi məlumatları emal etmək mümkün olur. Microsoft-un sözlərilə, Azure Confidential Computing “müştəri məlumatlarını hər hansı digər buluddan daha güclü və əhatəli qoruma” təklif edir.