シークレットとキーの管理

コンフィデンシャル コンピューティングでは、アプリケーションのセキュリティ体制を強化するためにシークレットとキーが使用されている間、それらを保護するための高度な機能が提供されます。

コンフィデンシャル コンピューティングが有効なサービスでは、信頼のハードウェア ルートによって管理されるキーを使用して、構成証明サービスに通知し、高信頼実行環境 (TEE) 内のデータの暗号化とその解除を行います。

これは、機密仮想マシン (CVM) と、AKS 上のコンフィデンシャル ノード プールなどの CVM 上に構築された他の多くのサービス、または Azure Data Explorer などのコンフィデンシャル SKU をサポートするデータ サービスの保護の重要な部分です。

たとえば、コードが TEE 内で実行されていることが (構成証明によって) 証明された後にのみキーが解放されるようにシステムを構成できます。これはセキュリティで保護されたキー リリース (SKR) と呼ばれます。この強力な機能は、暗号化されたデータを Azure BLOB ストレージから TEE に読み取る必要があるアプリケーションで役立ち、安全に暗号化を解除し、暗号化されていない状態で処理できます。

CVM は仮想トラステッド プラットフォーム モジュール (vTPM) に依存しています。これについて詳しくは、Azure の仮想 TPMに関するページを参照してください

Azure Managed HSM オファリングは機密コンピューティング テクノロジに基づいて構築されており、アプリケーションのシークレットとキーのアクセスの制御を強化するために使用できます。