A Microsoft anunciou recentemente a Computação Confidencial Azure, que visa oferecer novos mecanismos de segurança de dados para tornar a plataforma de nuvem ainda mais confiável.

De acordo com a Microsoft, a Computação Confidencial Azure oferece uma proteção que, até hoje, não existia em nuvens públicas: criptografia de dados durante o uso.

Isso significa que os dados podem ser processados na nuvem com a garantia de que estarão sempre sob o controle do cliente. A equipe do Azure, juntamente com a Microsoft Research, Intel, Windows e o grupo de Developer Tools vêm trabalhando em software de computação confidencial e tecnologias de hardware há mais de quatro anos.

A partir de agora a novidade está disponível para os clientes por meio de um programa de Acesso Antecipado e os interessados podem preencher o formulário disponível aqui.

Computação Confidencial Azure

Violações de dados ganham os noticiários praticamente todo dia, com invasores acessando informações de identificação pessoal (PII, na sigla em inglês), dados financeiros e propriedade intelectual corporativa. Embora muitas dessas violações sejam o resultado da má configuração do controle de acesso, a maioria pode ser rastreada pelos dados acessados durante o uso, seja por meio de contas administrativas ou aproveitando chaves comprometidas para acessar dados criptografados.

Apesar dos controles avançados de cibersegurança e mitigação, alguns clientes ainda relutam em mover seus dados mais sensíveis para a nuvem por medo de ataques quando estão em uso. Com a computação confidencial, eles podem mover os dados para o Azure com a certeza de que estão seguros, em repouso e em uso, das seguintes ameaças:

– Insiders mal-intencionados com privilégio administrativo ou acesso direto ao hardware no qual está sendo processado.

– Hackers e malwares que exploram erros no sistema operacional, na aplicação ou no hypervisor.

– Terceiros que acessam sem o seu consentimento.

A Computação Confidencial Azure garante que, quando os dados estiverem “limpos”, um requisito necessário para um processamento eficiente, eles são protegidos dentro de um Ambiente de Execução Confiável (TEE, na sigla em inglês – também conhecido como enclave), um exemplo está na figura abaixo:

Microsoft anuncia Computação Confidencial Azure

Os TEEs garantem que não há nenhuma maneira de visualizar dados ou as operações internas de fora, mesmo com um depurador. Eles ainda garantem que apenas o código autorizado tenha permissão para acessar os dados. Se o código for alterado ou adulterado, as operações são negadas e o ambiente desabilitado. O TEE reforça essas proteções ao longo da execução do código dentro dele.

Com a Computação Confidencial Azure, a Microsoft está desenvolvendo uma plataforma que permite que desenvolvedores aproveitem diferentes TEEs sem ter que mudar seu código.

Inicialmente, o suporte estará disponível para dois TEEs, Virtual Secure Mode e Intel SGX. O Virtual Secure Mode (VSM) é um TEE baseado em software implementado pelo Hyper-V no Windows 10 e no Windows Server 2016.

O Hyper-V impede que o código do administrador seja executado no computador ou no servidor, e também que administradores locais e do serviço em nuvem visualizem o conteúdo do enclave VSM ou modifiquem sua execução.

A empresa também oferece TEE Intel SGX baseado em hardware com os primeiros servidores compatíveis com SGX na nuvem pública. Os clientes que desejam que seu modelo de confiança não inclua o Azure ou a Microsoft podem alavancar os TEEs SGX. A Microsoft está trabalhando com a Intel e outros parceiros de hardware e software para desenvolver outros TEEs e os prestaremos o suporte à medida que estiverem disponíveis.

Mais detalhes podem ser vistos no post com o anúncio da Microsoft.