Dans un contexte de souveraineté numérique et de protection des données personnelles, les entreprises sont de plus en plus à la recherche de solutions cloud sécurisées. Microsoft a répondu à cette demande en proposant Azure Confidential Computing, une offre qui permet de protéger les données en cours de traitement dans le cloud.
Qu’est-ce que Azure Confidential Computing ?
Azure Confidential Computing est une technologie qui permet de sécuriser les données en cours de traitement dans le cloud. Elle repose sur le principe de l’exécution sécurisée (Trusted Execution Environment, TEE) – en français on traduirait par « enclave sécurisée » – qui permet de créer un environnement isolé où les données sont protégées contre tout accès non autorisé, y compris par le fournisseur de cloud, les administrateurs et les utilisateurs. 🛡️
Dans le cas d’Azure Confidential Computing, les données sont chiffrées en mémoire avant d’être traitées. Elles ne sont déchiffrées qu’après le traitement, lorsque le résultat est renvoyé à l’utilisateur.
Comment créer une machine virtuelle confidentielle dans Azure ?
Par défaut, vous pouvez créer des VM sécurisées en sélectionnant depuis le portail Azure via le menu déroulant « Security type » et en choisissant « Confidential virtual machines« . A partir de là, votre VM sera créée automatiquement sur un serveur physique qui disposera des nouvelles puces de sécurité proposées par Intel ou encore AMD.
Il existe plusieurs gabarits de VM que vous pouvez utiliser à partir du moment où vous avez choisi le type « Confidential virtual machines« . Vous pouvez retrouver la liste des gabarits disponibles sur le site de Microsoft en consultant cette adresse.
Microsoft le marché de la souveraineté du Cloud
L’objectif de Microsoft est de ne pas laisser passer le marché des clients européens (et français) qui vont avoir des besoins plus précis en termes de sécurité et de souveraineté :
- Protéger les données sensibles en garantissant une sécuritée renforcée grâce à l’utilisation d’un TEE. Cela permet de protéger les données personnelles, les données financières, les données médicales ou les données commerciales confidentielles (brevets, etc.).
- Rassurer les clients européens, qui sont particulièrement sensibles à la protection des données en permettant une confidentialité accrue puisque les données ne sont jamais accessibles en clair.
- Et bien sûr, favoriser l’adoption du cloud en offrant une solution sécurisée qui répond aux besoins des entreprises qui vont devoir se conformer à la GDPR, HDS ou les autres règlementations à venir.
D’ailleurs, Azure Confidential Computing peut être utilisé pour créer des machines virtuelles sécurisées mais également des Containers via Azure Kubernetes Services par exemple !
Comme annoncé par Arnaud Jumelet, membre de l’équipe CTO Microsoft France, l’objectif est que ce mode de fonctionnement devienne à termes la norme pour l’ensemble des charges de calcul qui fonctionneront au sein de la plateforme cloud Azure. 👍
Autre détail intéressant (et surprenant), la création d’une machine virtuelle configurée comme étant « Confidentielle » ne génère aucun surcoût par rapport à une VM traditionnelle pour une configuration similaire en termes de quantité de RAM, CPU. 🤑
Une avancée technologique possible grâce aux constructeurs de puces
Pour proposer Azure Confidential Computing, Microsoft a noué des partenariats avec les principaux constructeurs de processeurs, notamment AMD, Intel et Nvidia. Ces partenariats permettent à Microsoft d’intégrer les technologies de TEE de ces constructeurs dans ses serveurs Azure.
- AMD propose son TEE, appelé Secure Encrypted Virtualization (SEV), qui est basé sur la technologie AMD Secure Processor. SEV permet de créer des enclaves sécurisées dans la mémoire des processeurs AMD.
- Intel propose son TEE, appelé Intel SGX, qui est basé sur la technologie Intel Software Guard Extensions. SGX permet de créer des enclaves sécurisées dans la mémoire des processeurs Intel.
- Nvidia propose son TEE, appelé NVIDIA Confidential Computing, qui est basé sur la technologie NVIDIA Secure Enclave. NVIDIA Confidential Computing permet de créer des enclaves sécurisées dans la mémoire des processeurs Nvidia.
Conclusion et perspectives
Azure Confidential Computing est une offre prometteuse qui répond aux besoins des entreprises qui souhaitent protéger leurs données sensibles dans le cloud. Les partenariats avec les constructeurs de processeurs permettent à Microsoft de proposer une solution sécurisée et évolutive.
On peut déjà imaginer de nombreux usages comme par exemple :
- L’intelligence artificielle, pour protéger les données utilisées pour entraîner des modèles d’apprentissage automatique.
- La blockchain, pour protéger les transactions et les données sensibles.
- La santé, pour protéger les données médicales des patients.
- La finance, pour protéger les données financières des clients.
Si vous aussi vous avez besoin d’aller plus loin en termes de sécurité et de confidentialité pour vos données dans Azure, je vous encourage également à consulter l’initiative Microsoft Cloud for Sovereignty que je présente dans mon ancien article. 🛡️
Télécharger le support Microsoft
- Télécharger le support proposé par Microsoft lors de la conférence sur Azure Confidential Computing qui s’est tenue en octobre 2023 au Campus Cyber à la Défense. 📃
