縱觀市面上公有雲業者的機密運算布局,以微軟最為完備,單就機密虛擬機器(Confidentials VMs)而言,他們目前搭配x86架構兩大伺服器處理器平臺,推出多個執行個體服務。

舉例來說,在2020年4月微軟Azure正式發表DCsv2系列,這當中執行的伺服器系統,實作了英特爾發展的軟體防護延伸技術(Software Guard Extensions,SGX),用戶能以此確保資料在CPU運算時,仍持續處於加密狀態,無論是作業系統與Hypervisor這類具有較高層級系統全縣的軟體,或是任何人從實體伺服器的操作,都不能存取資料的內容。

2021年上半,適逢AMD推出支援安全加密虛擬化技術(SEV)的第三代EPYC處理器,以及英特爾發表全面支援SGX技術的伺服器處理器:第三代Xeon Scalable系列,微軟Azure陸續揭露消息,表示將基於這兩種最新發表的CPU,開設機密虛擬機器服務。

例如,3月他們釋出與AMD合作的消息,將基於第三代EPYC處理器,開設機密虛擬機器服務;在6月,微軟Azure宣布將基於英特爾第三代Xeon Scalable系列,提供兩款機密運算執行個體服務:DCsv3系列與DCdsv3系列,開放限定預覽試用,他們表示,加密的記憶體容量可因此達到1千倍,處理器核心也將增加到48顆。

同年11月舉行的Ignite全球用戶大會,微軟Azure針對這些機密虛擬機器服務,公布更多明確消息,同時,為了支援容器化工作負載,他們正設法促成旗下的機密虛擬機器服務,能用於代管Kubernetes服務Azure Kubernetes Service(AKS),作為工作節點(worker node)之用,再以此提供調度指揮機密容器(confidential containers)的能力,確保工作負載的隱私性與安全性。

針對基於AMD第三代EPYC處理器的部分,他們表示有兩款機密虛擬機器服務,名為DCasv5系列與ECasv5系列,將於此時進入公開預覽狀態,不僅將運用該公司處理器普遍內建的SEV技術,也包括這代EPYC處理器新增的安全巢狀記憶體分頁技術(SEV-SNP)。AMD也此時公布多組效能測試比較數據,證明機密虛擬機器服務與相同規格的執行個體服務之間的效能,僅落差2%到8%。

          

至於先前已定名的DCsv3系列與DCdsv3系列,也進入公開預覽狀態,微軟Azure表示,這些服務的安全區頁面快取(Enclave Page Cache,EPC)容量,將提升至1500倍(從168 MB提升至256 GB),固定的記憶體容量增至12倍(最大記憶體容量由32 GB提升到384 GB),處理器核心如前所述,最多可搭配到48顆(提升至6倍),同時,他們也會在此啟用「多金鑰記憶體全部加密技術(Total Memory Encryption-Multi-Key,TME-MK)」,促使每臺虛擬機器得以搭配不同的硬體金鑰,協助同一臺節點上的多個租戶均能得到持續啟用的加密保護。

關於機密運算在AKS環境當中的延伸支援,此時微軟也宣布將提供Intel SGX add-on for AKS的功能,可針對運用機密容器型態的記憶體密集型工作負載,像是資料分析、機器學習訓練與推論、多方資料計算(multi-party data computation),提升執行效能。

到了今年5月底舉行的全球年度開發者大會,微軟Azure宣布DCsv3系列與DCdsv3系列正式上線,相較於上一代機密虛擬機器服務DCsv2系列,關於EPC容量、固定記憶體容量、處理器核心數量的增長,以及TME-MK的提供,皆同於2021年11月所揭露的消息,針對AKS環境的支援,微軟也正式提供Intel SGX add-on AKS與其搭配,能在DCsv3系列使用。

產品資訊

Azure Confidential VMs
●原廠:微軟
●建議售價:DC1s v2每小時每小時0.112美元,DC1s v3每小時0.112美元,DC1ds v3每小時0.133美元(美國西部、Linux作業系統)
●支援機密運算的執行個體服務與對應處理器平臺:DCsv2系列採用Intel Xeon E-2288G,DCsv3系列與DCdsv3系列採用Intel第三代Xeon Scalable 8370C,DCasv5系列、DCadsv5系列、ECasv5系列、ECadsv5系列採用AMD第三代EPYC 7763v
●採用虛擬機器規格:Azure第二代VM
●採用機密運算技術:DCsv2系列、DCsv3系列與DCdsv3系列採用Intel SGX,DCasv5系列、DCadsv5系列、ECasv5系列、ECadsv5系列採用AMD SEV

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


熱門新聞

Advertisement