adrian_ilie825 - Fotolia
Sur Azure, Microsoft confine les traitements dans des enclaves sécurisées
Avec Confidential Computing, le code manipulant des données en clair peut être confiné dans un environnement d’exécution de confiance. De quoi ajouter une couche de sécurité supplémentaire à l’IaaS de Microsoft.
Microsoft vient de lever le voile sur Confidential Computing, une plateforme qui doit permettre de renforcer encore la protection des données. Qu’elles soient chiffrées au repos ou en transit, elles sont appelées à être traitées en clair. Avec la nouvelle offre de Microsoft, le traitement et les données associées doivent être confinés dans une environnement d’exécution de confiance (Trusted ExecutionEnvironment, TEE), une enclave en somme.
Dans un billet de blog, les équipes d’Azure expliquent que le TEE « assure qu’il n’y a aucun moyen de voir les données ou les opérations à l’intérieur, depuis l’extérieur, même avec un débuggeur ». Qui plus est, l’enclave permet de valider l’intégrité du code assurant le traitement.
L’approche n’est pas nouvelle. Fujitsu la présentait déjà début 2016 avec Sealed Applications Solutions (SAS) : l’application s’exécute dans un conteneur sécurisé dédié, mais sans en avoir conscience, car elle utilise le système d’exploitation pour accéder aux données. SAS s’appuie pour cela sur les TEE dont on trouve l’implémentation dans les processeurs mobiles, mais aussi AMD et Intel (avec SGX).
Et justement, pour Azure Confidential Computing, Microsoft entend s’appuyer soit sur Intel SGX soit sur le Virtual Secure Mode (VSM) de Windows 10 et Windows Server 2016 – suivant le choix du client. VSM permet de créer des conteneurs Hyper-V qui isolent individuellement des processus de confiance du reste sur système d’exploitation pour protéger les données traitées par ces processus. Ce dispositif est notamment à l’œuvre pour Credential Guard, qui confine le processus lsass.exe pour réduire drastiquement le risque de vol d’identifiants, mais également Windows Defender Application Guard. Pour fonctionner, VSM requiert Secure Boot et TPM, ainsi que les composants Hyper-V.
Le sujet est tellement cher à Microsoft que l’éditeur propose jusqu’à 250 000 $ de récompense pour certaines vulnérabilités critiques d’Hyper-V, dans le cadre de son programme de bug bounty lancé fin juillet.
Les équipes d’Azure précisent d’ailleurs qu’elles utilisent déjà des enclaves pour protéger nombre de choses en interne, « depuis les opérations financières Blockchain jusqu’aux données stockées dans SQL Server, en passant par notre propre infrastructure au sein d’Azure ».
Pour l’heure, l’accès à ces enclaves est réservé à des fins de test, via le programme Early Access de Microsoft. Le groupe ne précise pas de calendrier de disponibilité générale.