Исследователи Microsoft выяснили новый способ хранить данные и приложения в безопасном облаке, ограждая их в памяти от основной инфраструктуры.
Подход, который Microsoft называет Haven, может помочь предприятиям почувствовать себя более комфортно, используя облако для критически важных данных и приложений, говорят исследователи, которые представили подход на USENIX симпозиуме на этой неделе.
Они используют технику, называемую «shielded execution», которая защищает программу и связанные с ней данные от платформы, на которой они работают, в том числе операционной системы облачных сервисов, административного программного обеспечения, аппаратного обеспечения и другого программного обеспечения, которое поддерживает приложение.
Haven обеспечивает дополнительную защиту, которую не могут предложить по существующим технологиям, работающим на товарных операционных систем и с унаследованными приложениями.
«Самым распространенным препятствием для принятия облачных вычислений является отсутствие доверия к способности облачных услуг, чтобы обеспечить тот же уровень конфиденциальности и целостности,» написал Джонатан Trull, директор по информационной безопасности для обеспечения безопасности Исследовательской фирмы Qualys, в электронной бирже о Haven.
Haven опирается на две новых технологии.
Одной из них является обеспечение охраны Расширения Intel, (SGX), набор инструкций процессора для отмены частных областей в памяти.
Другой, Microsoft Drawbridge, экспериментальный виртуальный контейнер, который может предложить безопасную песочницу приложениям.
Использование процессора как часть установки безопасности является шагом в правильном направлении, говорят специалисты по безопасности. IBM также использует этот подход, чтобы привлечь чувствительных к безопасности клиентов для своего SOFTLAYER облака.
Хейвен «очень интригующая концепция», сказал Вольфганг Кандек, главный директор по технологиям Qualys, по электронной почте. Кандек похвалил Intel за исследования, в добавлении вызова команды системы безопасности на своих процессорах. Чип на основе безопасности гарантирует, что программы могут иметь дополнительную защиту без ущерба для производительности, сказал он.
Microsoft публично не сказал, что если он будет использовать все еще экспериментальный Haven для собственного облачного сервиса Azure.