SGX 記憶體保護區
Intel SGX 技術可讓客戶建立保護資料的記憶體保護區,並在 CPU 處理資料時保持資料加密。
記憶體保護區是硬體處理器和記憶體的安全部分。 即使使用偵錯工具,您也無法檢視記憶體保護區內的資料或程式碼。 如果不受信任的程式碼嘗試變更記憶體保護區記憶體中的內容,SGX 會停用環境並拒絕作業。 這些獨特的功能可協助您的祕密免於遭受存取。
將記憶體保護區視為安全的加密箱。 您可將已加密的程式碼和資料放入加密箱中。 從加密箱外部,您看不到任何東西。 您可以為記憶體保護區提供金鑰來解密資料。 記憶體保護區會先處理並重新加密資料,再將資料傳回。
Azure 機密運算提供 DCsv2 系列 和 DCsv3/DCdsv3 系列虛擬機器 (VM)。 這些 VM 支援 Intel® Software Guard Extensions (SGX)。
每個記憶體保護區都有加密的頁面快取 (EPC) 與設定大小。 EPC 決定了記憶體保護區可以保留的記憶體數量。 DCsv2 系列 VM 最多可保留 168 MiB。 DCsv3/DCdsv3 系列 VM 最多可保留 256 GB,以用於需要大量記憶體的工作負載。
針對記憶體保護區進行開發
您可以使用各種軟體工具來開發在記憶體保護區中執行的應用程式。 這些工具可協助您保護記憶體保護區內程式碼和資料的部分。 請確定受信任環境的外部沒有人可以使用這些工具來檢視或修改您的資料。