Защита Windows выходит на новый уровень: Microsoft переводит лицензирование в облако Azure

Microsoft переносит службу управления ключами лицензирования Windows (MKMS) в облако Azure, чтобы использовать передовые технологии безопасности, такие как Azure Confidential Computing (ACC) и управляемые аппаратные модули безопасности (mHSM). Но зачем это нужно? Главное преимущество ACC – это использование доверенных сред выполнения (TEE), которые создают внутри процессора изолированные анклавы. В этих анклавах данные шифруются прямо во время обработки, что делает их недоступными для посторонних.

А что такое mHSM? Это, по сути, физически защищенные устройства, которые генерируют, хранят и оберегают криптографические ключи. Они способны выдерживать серьезные физические и логические атаки, а при обнаружении подозрительной активности могут даже самоуничтожаться, стирая все ключи.

MKMS ежедневно обрабатывает миллиарды запросов на лицензирование Windows, различных приложений и игр. Переход в Azure позволит сделать этот процесс гораздо безопаснее. Microsoft подчеркивает, что такой шаг обеспечит "большую надежность, повышенную безопасность и бесперебойную работу сервиса для клиентов".

Azure Confidential Computing (ACC): что это за зверь?

В основе Microsoft Azure Confidential Computing лежат процессоры AMD EPYC с технологией Secure Encrypted Virtualization - Secure Nested Paging (SEV-SNP). Эта технология обеспечивает защиту данных во время обработки в доверенных средах выполнения (TEE) на аппаратном уровне. Представьте себе, что ваши данные находятся в неприступной крепости, куда нет доступа даже у облачных администраторов. Azure и так шифрует данные, когда они хранятся или передаются, а Confidential Virtual Machines (CVM) шифруют данные, которые используются в оперативной памяти.

Если немного углубиться, TEE в Azure – это специальные изолированные области внутри процессора и памяти, которые защищают код и данные от несанкционированного доступа и изменений. Azure реализует их с помощью аппаратных средств защиты и шифрования.

Зачем переезжать в облако?

Microsoft рассчитывает, что перенос лицензирования в облако повысит надежность и безопасность по сравнению с локальной инфраструктурой, которую компания использовала раньше. Этот шаг соответствует инициативе Secure Future Initiative, направленной на обеспечение безопасности всех операций Microsoft. Кроме того, это позволяет сократить капитальные затраты, поскольку отпадает необходимость в регулярном обновлении оборудования.

Еще одно важное преимущество – гибкость масштабирования. Облачные ресурсы можно увеличивать или уменьшать в зависимости от потребностей, платя только за то, что реально используется. Microsoft также смогла сократить первоначальные инвестиции в оборудование и текущие расходы на обслуживание, сохранив при этом высокую пропускную способность, скорость и надежность. Компания утверждает, что результаты работы в облаке сопоставимы или даже лучше, чем в прежней локальной среде.

Мнение редакции MSReview: Переход Microsoft на Azure Confidential Computing для лицензирования Windows – это важный шаг вперед в обеспечении безопасности. Использование TEE и mHSM значительно снижает риски, связанные с утечкой ключей и несанкционированным доступом. Это особенно важно в эпоху, когда киберугрозы становятся все более сложными и изощренными. Такой подход демонстрирует стремление Microsoft защищать свои продукты и клиентов, а также оптимизировать операционные расходы за счет использования облачной инфраструктуры.