Microsoft открывает код Azure HSM: аппаратное шифрование для облака становится доступным всем
С развитием цифровых инфраструктур проблема доверия к системам становится всё более значимой. Microsoft анонсировала открытие исходных кодов аппаратных модулей безопасности Azure Integrated Hardware Security Module (Azure HSM), которые превращают аппаратную криптографическую защиту в фундаментальную составляющую облачных технологий.
Аппаратный модуль Microsoft Azure Integrated HSM встраивается в каждый новый сервер Azure (а также в ВМ V7). Он соответствует стандарту FIPS 140-3 Level 3 и обеспечивает защиту криптографических ключей непосредственно в точке выполнения задач, а не только на централизованном уровне. Благодаря этому системы становятся устойчивыми к физическим атакам и защищены от логического извлечения ключей.
Корпорация объявила о публикации ключевых компонентов Azure Integrated HSM (прошивки, драйверов и программного стека) — они появятся в рамках инициативы OCP. Прошивка уже доступна в репозитории GitHub вместе с результатами независимых проверок, включая аудит OCP SAFE. Кроме того, Azure Integrated HSM поддерживает отраслевые стандарты, такие как TDISP, что позволяет связывать HSM со средами, задействованными в конфиденциальных вычислениях.
Источник изображения: Microsoft
Новое решение дополняет такие сервисы, как Azure Key Vault и Azure Managed HSM, предлагая повышенный уровень защиты отдельных серверов. Ключи защищаются не только при хранении, но и во время использования. В Azure Integrated HSM ключи шифрования генерируются, хранятся и применяются исключительно внутри защищённого аппаратного контура. Они не попадают в память виртуальных машин, в программные процессы и не раскрываются в ходе активных криптографических операций. В результате предотвращаются целые категории атак, направленных на извлечение данных из памяти или программного уровня.
В отличие от решений, основанных на «централизованных» HSM-технологиях, которые, хотя и эффективны, сталкиваются с трудностями при масштабировании, новый метод позволяет интегрировать криптографическую защиту непосредственно в сервер. Благодаря аппаратным корням доверия (RoT), проверяемой загрузке и аттестации, Azure Integrated HSM гарантирует подтверждение корректности аппаратных и программных конфигураций оборудования. В сочетании с другими средствами защиты, такими как Azure Boost, технология Azure Integrated HSM формирует вертикально интегрированную цепочку доверия, начиная от чипов и заканчивая программным обеспечением.
Источник: