Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure ofertas de computación confidencial abarcan tres áreas:
- Máquinas virtuales y contenedores
- Servicios confidenciales
- Ofertas adicionales
Máquinas virtuales y contenedores
Azure admite varias tecnologías de computación confidencial, incluidas AMD SEV-SNP e Intel Trust Domain Extensions (TDX). Estas tecnologías ayudan a proteger el código y los datos mientras están en uso.
- AMD SEV-SNP máquinas virtuales confidenciales: DCasv5 y ECasv5 ayudan a rehospedar las cargas de trabajo existentes al tiempo que protegen los datos de los operadores en la nube. DCasv6 y ECasv6 están actualmente en versión preliminar cerrada y ofrecen un rendimiento mejorado.
- Máquinas virtuales confidenciales de Intel TDX: DCesv6 y ECesv6 le ayudan a rehospedar cargas de trabajo con confidencialidad de nivel de máquina virtual.
- Máquinas virtuales de GPU confidenciales: NCCadsH100v5 combina el rendimiento de GPU con CPU vinculada y TEE de GPU para ayudar a proteger las cargas de trabajo confidenciales de inteligencia artificial y aprendizaje automático.
- Nodos de trabajo confidenciales de AKS: los nodos de trabajo de Azure Kubernetes Service (AKS) de máquinas virtuales confidenciales le ayudan a realojar contenedores con confidencialidad a nivel de nodo de trabajo en hardware AMD SEV-SNP.
- Contenedores confidenciales en Azure Container Instances: contenedores confidenciales en Azure Container Instances admiten la integridad y la atestación de nivel de contenedor mediante directivas de cumplimiento de computación confidencial (CCE).
Servicios confidenciales
Azure también ofrece servicios de plataforma y software basados o integrados con computación confidencial:
- La inferencia confidencial con el modelo de Azure OpenAI Whisper admite la inferencia protegida con TEE, la protección de mensajes cifrados, el anonimato del usuario y OHTTP.
- Azure Databricks admite escenarios de computación confidencial mediante máquinas virtuales confidenciales en el entorno de Lakehouse.
- Azure Virtual Desktop ayuda a proteger las sesiones de escritorio con cifrado en memoria y confianza respaldada por hardware.
- Azure Key Vault Managed HSM proporciona un servicio HSM para un solo inquilino, conforme con los estándares, para la protección de claves.
- Azure Attestation proporciona atestación remota para TEE y comprobación de la integridad binaria.
- Azure confidential ledger es un almacén de escritura única con evidencia de manipulación para registros confidenciales y escenarios de auditoría.
- Always Encrypted con enclaves seguros en Azure SQL habilita el procesamiento de consultas protegido en un TEE.
Esta cartera sigue evolucionando en función de la demanda del cliente.
Cómo Microsoft usa Azure computación confidencial
Microsoft también aplica las funcionalidades de informática confidencial de Azure en sus propios servicios y operaciones. Estos patrones se alinean con el énfasis de Secure Future Initiative (SFI) en proteger por diseño, proteger de forma predeterminada y operaciones seguras.
Algunos ejemplos de uso de Microsoft incluyen:
- Microsoft Entra ID: protección de las cargas de trabajo clave de infraestructura de materiales e identidades para reducir el riesgo de acceso no autorizado.
- Servicios criptográficos y de firma de código de Microsoft: Aislar las operaciones sensibles de firma y criptografía en entornos de ejecución seguros para respaldar transacciones de servicio de gran volumen (aproximadamente 3 mil millones de transacciones al día, como se destaca en los ejemplos de adopción de Microsoft).
- Flujos de trabajo de datos y análisis (incluidos Azure Databricks): ejecución de canalizaciones de análisis en máquinas virtuales confidenciales para ayudar a proteger los datos durante todo el ciclo de vida del procesamiento.
- Cargas de trabajo del espacio aislado de privacidad: uso de aislamiento respaldado por hardware para mejorar la privacidad del usuario y mantener la funcionalidad de la plataforma, incluidos aquellos escenarios diseñados para funcionar sin cookies de terceros.
- Cargas de trabajo de procesamiento de pagos (incluidas las de Microsoft Pay): protección de datos confidenciales del procesamiento de pagos mientras se utilizan durante la gestión de transacciones (aproximadamente 25.000 millones de dólares al año, como se destaca en los ejemplos de adopción de Microsoft).
- Escenarios informáticos de usuario final (incluido Azure Virtual Desktop):aislamiento criptográfico de las cargas de trabajo invitadas para ayudar a reducir la exposición en contextos de acceso altamente regulados o de alto riesgo.
Entre las ventajas habituales que Microsoft obtiene de estas implementaciones se incluyen las siguientes:
- Reducir la exposición de datos confidenciales en memoria mediante el procesamiento de datos dentro de entornos de ejecución de confianza respaldados por hardware.
- Limitación del riesgo de acceso por parte de personal interno y operadores mediante atestación, aplicación de directivas y aislamiento de cargas de trabajo.
- Refuerzo de la postura de cumplimiento para escenarios de identidad, pagos y sensibles a la privacidad.
- Habilitación de patrones más amplios de "cifrado de datos en uso" en servicios de plataforma y aplicación.
Para obtener más contexto, consulte la iniciativa de futuro seguro de Microsoft y su informe de progreso de abril de 2025 y el informe de progreso de noviembre de 2025.
Ofertas adicionales
- Trusted Launch añade arranque seguro, un módulo de plataforma segura virtual y supervisión de la integridad de arranque a las máquinas virtuales de generación 2.
- Azure Integrated HSM ya está disponible de forma general y proporciona protección de claves dedicada y de baja latencia, con certificación FIPS 140-3 de nivel 3, en la infraestructura de Azure.
- Trusted Hardware Identity Management administra las memorias caché de certificados para las TEE en Azure y proporciona información básica de computación de confianza para las líneas base de atestación.