最近、MicrosoftはDCsv2シリーズ仮想マシン(VM)の一般向け提供を発表した。これらのVMを使用すると、顧客は使用中にデータを保護するアプリケーションを提供できる。
DCsv2シリーズVMは、MicrosoftのAzure機密コンピューティング製品の一部である。そして、それはIntelのSoftware Guard Extensions (Intel SGX)上に構築されたハードウェアベースの信頼できる実行環境(TEE)を備えている。このIntelの基盤上で、このVMシリーズによって、機密性の高いワークロードを保護しながらクラウドコンピューティングを活用したい企業が機密コンピューティングを利用できるようになる。たとえば、銀行はトランザクションデータを組み合わせて詐欺やマネーロンダリングを検出する。また、病院は患者の記録を組み合わせて分析し、病気の診断と処方を改善する。
Microsoftの最高技術責任者であるMark Russinovich氏は、ブログ投稿に次のように書いている。
クラウドのスケーラビリティと使用中にデータを暗号化する機能を組み合わせることで、新しいシナリオをAzureで実現可能となった。例えば、マルチパーティでの機密の計算ができ、そこでは、さまざまな組織がデータセットを組み合わせて、互いのデータにアクセスすることなく、計算集約型の分析を行うことができる。
出典: https://twitter.com/JamesvandenBerg/status/1255022751695474688
IntelのSGXテクノロジーは、CPUがデータを処理している間、顧客のデータを保護し、暗号化を維持する役割がある。オペレーティングシステムやハイパーバイザーでさえ、データにアクセスできず、誰も物理的にサーバにアクセスできない。ただし、SGXは、これまでも、たとえば、PlundervoltおよびMembusterの手法を使用する研究者によって活用されてきた。
現在、MicrosoftとGoogleはどちらもクラウドプロバイダーであり、機密性の高い情報をクラウドプラットフォームで処理するための仮想マシン(VM)インスタンスを提供している。MicrosoftによるDCsv2シリーズVMのGAリリースに続いて、GoogleはUnified Extensible Firmware Interface(UEFI)とShielded VMをすべてのGoogle Compute Engineのデフォルトとして追加料金なしで発表した。さらに、Shielded VMはさまざまな脅威に対する保護を提供する。例えば、悪意のあるゲストOSファームウェア、ブートとカーネルの脆弱性、悪意のある内部関係者に対してである。
MicrosoftとIntelはConfidential Computing Consortiumのメンバーである。コンソーシアムは、より安全なコンピューティングインフラストラクチャを提供するために業界と協力することにコミットしている。Intelのデータセンターセキュリティおよびシステムアーキテクチャ担当バイスプレジデントであるAnil Rao氏は、プレスリリースで次のように述べている。
顧客は、使用中のデータを暗号化することで、攻撃対象領域を減らし、クラウド内の機密データを保護する機能を求めています。Microsoftとのコラボレーションにより、エンタープライズ対応の機密コンピューティングソリューションが市場に投入されます。これにより、顧客は、Intel SGXテクノロジーを使用してクラウドおよびマルチパーティのコンピューティングパラダイムの恩恵を享受できるようになります。
発表によると、現在、Azure用のDCsv2シリーズVMは3つの地域(米国東部、カナダ中央部、英国南部)で利用でき、Microsoftは年末までに他のリージョンに提供を拡大する予定である。これらのAzure VMおよびその他の価格の詳細は、価格ページで確認できる。