SGX enclave

利用 Intel SGX 技术，客户可以创建 enclave 来保护数据，并在 CPU 处理数据时保持数据处于加密状态。

Enclave 是指硬件的处理器和内存的受保护部分。 你无法查看 enclave 内的数据或代码，即使使用调试程序也不行。 如果不受信任的代码尝试更改 enclave 内存中的内容，SGX 就会禁用该环境并拒绝操作。 这些独一无二的功能有助于保护机密，使其免受畅行无阻的访问。

可以将 enclave 视为有保护措施的保险箱。 你将经过加密的代码和数据放置在这个保险箱中。 从箱子外部看不到任何内容。 你会为这个 enclave 指定用于解密数据的密钥。 enclave 会先处理并重新加密数据，然后再将数据发回。

Azure 机密计算提供 DCsv2 系列和 DCsv3/DCdsv3 系列 虚拟机 (VM)。 这些 VM 支持 Intel® Software Guard Extensions (SGX)。

每个 enclave 都有设定大小的经过加密的页缓存 (EPC)。 EPC 决定了 enclave 可以保留的内存量。 DCsv2 系列 VM 最多保留 168 MiB。 DCsv3/DCdsv3 系列 VM 最多保留 256 GB 用于更多内存密集型的工作负载。

针对 enclave 进行开发

可以使用各种软件工具来开发在 enclave 中运行的应用程序。 这些工具有助于防护 enclave 中你的代码和数据部分。 请确保受信任环境之外的任何人都无法使用这些工具来查看或修改你的数据。

后续步骤

• 开发 enclave 感知应用程序
• 部署 Intel SGX VM