La croissance exponentielle des jeux de données a entraîné une surveillance croissante de la façon dont les données sont exposées, du point de vue de la conformité et de la confidentialité. Dans ce contexte, l’informatique confidentielle devient un outil important pour aider les organisations à répondre à leurs besoins en matière de confidentialité et de sécurité entourant les données en lien avec les entreprises et les consommateurs.

L’informatique confidentielle chiffre les données en mémoire et les traite uniquement une fois l’environnement cloud vérifié, ce qui empêche l’accès aux données à partir d’opérateurs cloud, d’administrateurs malveillants et de logiciels privilégiés tels que l’hyperviseur. Elle permet de protéger les données tout au long de leur cycle de vie : en plus des solutions existantes de protection des données au repos et en transit, les données sont à présent protégées en cours d’utilisation.

Grâce à l’informatique confidentielle, les organisations du monde entier peuvent maintenant accéder à des opportunités qui n’étaient pas possibles auparavant. Par exemple, ils peuvent à présent tirer parti de l’analytique données multiparties et du Machine Learning qui combinent des jeux de données de parties qui n’auraient pas voulu ni pu les partager, ce qui permet de conserver la confidentialité des données entre les différents participants. En fait, RBC a créé une plateforme pour obtenir des analytiques sur la préservation de la confidentialité auxquels les clients s’abonnent pour accéder à des remises plus optimisées. La plateforme génère des insights sur les préférences d’achat des consommateurs en combinant de manière confidentielle les transactions de carte bancaire de RBC avec les données du détaillant sur les éléments spécifiques achetés par les consommateurs.

Leadership et normalisation du secteur

Microsoft est depuis longtemps le leader de la réflexion sur l’informatique confidentielle. Azure a introduit l’« informatique confidentielle » dans le cloud lorsque nous sommes devenus le premier fournisseur de services cloud à proposer des machines virtuelles d’informatique confidentielle et une prise en charge des conteneurs confidentiels dans Kubernetes pour permettre aux clients d’exécuter leurs charges de travail les plus sensibles dans les environnements d’exécution de confiance (TEE). Microsoft est également un membre fondateur du CCC (Confidential Computing Consortium), un groupe qui rassemble les fabricants de matériel, les fournisseurs de services cloud et les fournisseurs de solutions qui travaillent conjointement sur des moyens d’améliorer et de normaliser la protection des données dans l’ensemble du secteur de la technologie.

Les bases de l’informatique confidentielle

Notre barre de confidentialité aligne et prolonge la barre définie par le CCC pour fournir une base complète pour l’informatique confidentielle. Nous nous efforçons de fournir aux clients les contrôles techniques permettant d’isoler les données des opérateurs Microsoft et/ou de leurs propres opérateurs. Dans Azure, nous avons des offres d’informatique confidentielle qui dépassent l’isolation d’hyperviseur entre les locataires clients pour protéger les données client de l’accès par les opérateurs Microsoft. Nous disposons également d’une informatique confidentielle avec des enclaves sécurisées pour empêcher l’accès des opérateurs des clients.

Notre base pour l’informatique confidentielle inclut les éléments suivants :

• Racine de confiance matérielle pour s’assurer que les données sont protégées et ancrées dans le silicium. L’approbation est enracinée chez le fabricant du matériel, de sorte que même les opérateurs Microsoft ne peuvent pas modifier les configurations matérielles.
• Attestation à distance pour que les clients vérifient directement l’intégrité de l’environnement. Les clients peuvent vérifier que le matériel et les logiciels sur lesquels leurs charges de travail s’exécutent sont des versions approuvées et sécurisées avant de les autoriser à accéder aux données.
• Le lancement fiable est le mécanisme qui garantit le démarrage des machines virtuelles avec des logiciels autorisés et qui utilise l’attestation distante afin que les clients puissent les vérifier. Il est disponible pour toutes les machines virtuelles, notamment les machines virtuelles confidentielles, offrant des fonctionnalités de démarrage sécurisé et de vTPM, pour ajouter une défense contre les rootkits, les bootkits et les microprogrammes malveillants.
• Isolation de la mémoire et chiffrement pour garantir la protection des données lors du traitement. Azure offre l’isolation de la mémoire par machine virtuelle, conteneur ou application pour répondre aux différents besoins des clients, et le chiffrement basé sur le matériel pour empêcher l’affichage non autorisé des données, même avec un accès physique au centre de données.
• Gestion sécurisée des clés pour s’assurer que les clés restent chiffrées pendant leur cycle de vie et qu’elles ne libèrent que le code autorisé.

Les composants ci-dessus constituent ensemble les bases de ce que nous considérons comme l’informatique confidentielle. Aujourd’hui, Azure propose davantage d’options d’informatique confidentielle couvrant le matériel et les logiciels que n’importe quel autre fournisseur de services cloud.

Nouveau matériel novateur

Nos nouvelles machines virtuelles DCsv3 Intel incluent Intel SGX qui implémente des enclaves d’applications protégées par du matériel. Les développeurs peuvent utiliser des enclaves SGX pour réduire au maximum la quantité de code qui a accès aux données sensibles. En outre, nous allons activer le chiffrement TME-MK (Total Memory Encryption-Multi-Key) afin que chaque machine virtuelle puisse être sécurisée avec une clé matérielle unique.

Nos nouvelles machines virtuelles confidentielles DCasv5/ECasv5 basées sur AMD disponibles offrent une protection SEV-SNP (Secure Encrypted Virtualization-Secure Nested Paging) pour fournir des machines virtuelles isolées du matériel qui protègent les données d’autres machines virtuelles, de l’hyperviseur et du code de gestion de l’hôte. Les clients peuvent effectuer une migration lift-and-shift des machines virtuelles existantes sans modifier le code et éventuellement tirer parti du chiffrement de disque amélioré avec les clés qu’ils gèrent ou qui sont gérées par Microsoft.

Pour prendre en charge les charges de travail en conteneur, nous mettons à disposition toutes nos machines virtuelles confidentielles dans Azure Kubernetes Service (AKS) en tant qu’option de nœud Worker. Les clients peuvent à présent protéger leurs conteneurs avec des technologies Intel SGX ou AMD SEV-SNP.

Les options de chiffrement et d’isolation de la mémoire d’Azure fournissent des protections plus complètes et plus fortes pour les données client que n’importe quel autre cloud.

Succès des clients dans les différents secteurs

De nombreuses organisations tirent déjà parti des avantages de la confidentialité et de la sécurité des données de l’informatique confidentielle Azure.

Secure IA Labs utilise une préversion privée de nos machines virtuelles basées sur AMD pour créer une plateforme dans laquelle les chercheurs dans le domaine de la santé peuvent collaborer plus facilement avec les fournisseurs de soins de santé afin de faire avancer la recherche. Luis Huapaya, vice-président de l’ingénierie à Secure IA Labs Inc. indique que grâce à l’informatique confidentielle Azure, Secure IA Labs peut bénéficier de tous les avantages de l’exécution dans Azure sans jamais sacrifier la sécurité. On pourrait avancer que l’exécution d’une charge utile virtuelle au sein de l’informatique confidentielle Azure pourrait être plus sécurisée que l’exécution sur un serveur privé local. Elle offre également une attestation distante, une fonctionnalité de sécurité Pivotal, car elle fournit une charge utile virtuelle qui permet d’apporter une preuve cryptographique de son identité et de vérifier son exécution au sein d’une enclave. L’informatique confidentielle Azure avec AMD SEV-SNP facilite grandement notre travail. »

Bien que les secteurs réglementés aient été les premiers à adopter cette technologie en raison des besoins en matière de conformité et de données très sensibles, de plus en plus de secteurs (de la production à la vente au détail et à l’énergie par exemple) portent un intérêt grandissant envers cette technologie.

Signal Messenger, une application de messagerie internationale connue pour sa sécurité et sa confidentialité maximales, tire parti de l’informatique confidentielle Azure avec Intel SGX pour protéger les données client, telles que leurs coordonnées. Jim O’Leary, vice-président Ingénierie chez Signal déclare : « Pour répondre aux attentes de sécurité et de confidentialité des millions d’utilisateurs chaque jour, nous utilisons l’informatique confidentielle Azure pour fournir des environnements évolutifs et sécurisés pour nos services. Signal place les utilisateurs en premier et Azure nous aide à rester à la pointe de la protection des données avec l’informatique confidentielle.»

Nous sommes ravis de voir que les organisations apportent plus de charges de travail dans Azure en ayant confiance dans la protection des données de l’informatique confidentielle Azure pour répondre aux besoins de confidentialité de leurs clients.

Cloud confidentiel Azure

Azure est l’ordinateur du monde allant du cloud à la périphérie. Les clients de toutes tailles, dans tous les secteurs, veulent innover, créer et exploiter en toute sécurité leurs applications sur plusieurs clouds, en local et en périphérie. Tout comme HTTPS est devenu omniprésent pour la protection des données lors de la navigation web sur Internet, chez Azure, nous pensons que l’informatique confidentielle est un ingrédient nécessaire pour toute l’infrastructure informatique. 

Notre vision est de transformer le cloud Azure en cloud confidentiel Azure, en passant de l’informatique en clair au calcul de façon confidentielle sur le cloud et la périphérie. Nous souhaitons que les clients bénéficient des niveaux de confidentialité et de sécurité les plus élevés pour l’ensemble de leurs charges de travail.

Parallèlement à notre investissement de 20 milliards de dollars US au cours des cinq prochaines années pour l’amélioration de nos solutions de sécurité, nous allons collaborer avec les fournisseurs de matériel et innover au sein de Microsoft afin d’offrir aux clients les plus hauts niveaux de sécurité et de confidentialité des données. Dans notre parcours pour devenir le cloud confidentiel le plus performant au monde, nous allons booster les innovations informatiques confidentielles horizontalement dans notre infrastructure Azure et verticalement via tous les services Microsoft qui s’exécutent sur Azure.

En savoir plus sur l’informatique confidentielle Azure

En savoir plus sur nos dernières offres d’informatique confidentielle

• Machines virtuelles confidentielles avec enclaves sécurisées Intel SGX (préversion).
• Machines virtuelles confidentielles avec AMD SEV-SNP (préversion).
• Lancement fiable avec démarrage sécurisé et vTPM sur l’ensemble des machines virtuelles Azure Gen 2, pour vérifier uniquement les exécutions de code de confiance sur une machine virtuelle.

Prise en main des services, des outils et des frameworks de l’informatique confidentielle

• Registre confidentiel Azure maintenant en préversion via le portail Azure
• SQL Always Encrypted avec enclaves sécurisées.
• HSM managé Azure Key Vault
• Microsoft Azure Attestation
• Infrastructure open source CCF (Confidential Consortium Framework) pour les registres blockchain privés.
• SDK open source Open Enclave pour C++ le contrôle de ligne de code C/C++ sur les données.
• Framework open source ONNX Runtime pour l’inférence de la confidentialité ML.
• Mystikos pour le portage d’applications .NET dans les enclaves d’application.
• Enclave Device Blueprint pour l’informatique confidentielle sur l’IoT Edge.
• Conteneurs confidentiels sur AKS.
• AKS avec nœuds d’informatique confidentielle.

---

Azure. Inventez en ayant un but.