I går lanserade Microsoft en satsning som heter Azure confidential computing (ACC). Till en början handlar det om ett sätt att köra databaser på Azure som ska vara säkrare än tidigare. Det gäller både den traditionella databasen Sql Server och databastjänsten Azure SQL Database.

ACC bjuder främst på två saker. För det första att data kan krypteras när de hanteras. För det andra att körningar görs i avskilda delar av Azure som ska vara skyddade från insyn för andra användare och program än de som ska ha tillgång till data. En sådan avskild del kallas för Trusted Execution Environment (TEE) eller enklav.

Läs också: Här är systemen som "aldrig" når upp i molnet

En enklav ska garantera att det är omöjligt att se vare sig data eller vilka jobb som körs i den, från utsidan eller från insidan med kod som inte har rätt behörigheter. Även kod som har ändrats på något sätt ska nekas insyn. Eftersom man bör vara försiktig med utfästelsen ”omöjligt” i it-säkerhetssammanhang så har Microsoft mycket att bevisa med ACC. Räkna med gott om försök att bryta sig in i enklaver.

Hur som helst ska ACC enligt Microsoft ge skydd mot till exempel behöriga användare med onda avsikter och hackare som försöker utnyttja buggar i operativsystem, applikationer och virtualiseringslösningar. Det är väldigt stora utfästelser från Microsoft.

Rent tekniskt finns det för närvarande två olika typer av enklaver:

  • Virtual Secure Mode (VSM) är en mjukvarubaserad lösning baserad på Microsofts virtuliseringsmotor Hyper-V i Windows 10 och Windows Server 2016.
  • Det finns också möjlighet att använda en hårdvarulösning, baserad på Intels Intel SGX (Software Guard Extensions) som är en samling instruktioner på processornivå. Det innebär att man inte ska behöva förlita sig på Azure eller någon annan Microsoftteknik, förutom ACC då, för att säkra en miljö, även om den körs på Azure.

Microsoft uppger att man samarbetar med partner för att ta fram flera typer av enklaver.

Läs också: Containrar för snabba ryck i Microsofts moln

För tillfället är det en förhandsversion av ACC som är tillgänglig (early access). En stilla undran i sammanhanget är om databaser på Azure har varit osäkra hittills, eftersom ACC enligt Microsoft innebär att data nu ”kan hanteras i molnet med garanti om att de alltid är under kundens kontroll”.