Llega la Azure Confidential Computing, ¿quieres saber qué es?

Microsoft anuncia nuevas capacidades de seguridad en su cloud con una colección de características y servicios que ha bautizado como Azure Confidential Computing y que básicamente permite que las aplicaciones que se estén ejecutando en Azure mantengan los datos cifrados no sólo cuando estén almacenados o en tránsito, sino también cuando se están computando.

También puedes leer... Informe global sobre Seguridad de la Información 2016-2017 Evolución de los ataques con exploits GDPR: todas sus claves Riesgos de IoT en las empresas Desarrollo de estrategias de ciberseguridad nacional

Explicaba Microsoft en un post que la compañía invierte más de mil millones de dólares anuales en seguridad y que gran parte de los esfuerzos se dedican a Azure, su plataforma cloud; “desde la estricta seguridad física de los centros de datos, garantizando la privacidad de los datos, cifrando los datos en reposo y en tránsito, nuevos usos del aprendizaje de máquinas para la detección de amenazas y el uso de controles de ciclo de vida de desarrollo operacional de software estrictos”.

Ahora la compañía da un paso más. Durante cuatro años ha trabajado el equipo de Azure con Microsoft Research, Intel, Windows el el grupo de Developer Tools en esa confidential computing, que permite mover los datos a Azure con tranquilidad, sabiendo que están a salvo de ataques de escalada de privilegios, acceso directo al hardware, que se exploten vulnerabilidades en el sistema operativo, aplicaciones o hipervisor, del amlware o incluso del acceso de terceros sin consentimiento.

El dato está protegido dentro de un Trusted Execution Environment (TEE), un enclave que asegura que no se pueden ver los datos o las operaciones. Sólo se permite acceder a los datos al código autorizado, de forma que se ese código es alterado, la operación es denegada y en enclave se deshabilita.

Microsoft Confidential Computing tiene dos modos: uno basado en máquina virtual, o Virtual Secure Mode, y otro que utiliza Intel SGX. El primero es un TEE basado en software implementado por Hyper-V en Windows 10 y Windows Server 2016. Hyper-V evita que el código de administrador se ejecute en el equipo o servidor, y que los administradores, tanto locales como de servicios en la nube vean el contenido del enclave VSM o modifiquen su ejecución.

Intel SGX TEE está basado en hardware y diseñado para los clientes que prefieren que su modelo de confianza no incluya Azure o Microsoft. Microsoft ya ha anunciado que se trabaja con Intel y otros socios de hardware y software para desarrollar TEE adicionales que se soportarán a medida que estén disponibles.