セキュリティが強化されたインスタンスファミリーは、TCM (trusted Cryptography Module) またはTPM (Trusted Platform Module) チップに基づくトラステッドコンピューティング機能を提供します。 g7t、c7t、およびr7tを含む一部のセキュリティ強化インスタンスファミリーは、Intelに基づくソフトウェアガード拡張機能 (SGX) 暗号化コンピューティング機能も提供します。®より高度なセキュリティを提供する信頼できる機密環境のためのSGX。

信頼できるコンピューティング

セキュリティ強化されたインスタンスファミリーは、TPMまたはTCMをハードウェアプラットフォームに統合し、TPMまたはTCMチップをRoot of Trust (RoT) として使用し、Unified Extensible Firmware Interface (UEFI) ファームウェア、vTPMまたはvTCM、およびリモート認証サービスを使用してインスタンスの起動測定と整合性の検証を実装します。 これらにより、セキュリティ強化されたインスタンスが安全で信頼できるようになります。

信頼できるコンピューティング機能の機能および信頼できるコンピューティング機能の使用方法については、次のトピックを参照してください。

SGX暗号化コンピューティング

ソフトウェアベースのRoTを使用している場合、ソフトウェアにセキュリティ上の脆弱性がある場合、データのセキュリティは保証されません。 SGXのRoTには、セキュリティレベルを向上させるためのハードウェアのみが含まれます。 インスタンスの起動測定と整合性検証に加えて、g7t、c7t、およびr7tを含む一部のセキュリティ強化インスタンスファミリーは、物理サーバーの機密コンピューティング機能をIntelベースのインスタンスに転送します。®SGX。 vSGXインスタンスには暗号化メモリが割り当てられます。
セキュリティとコンプライアンスの要件が厳しく、クラウドホストの物理リソースを他のテナントと共有したくない場合は、セキュリティを強化するために、物理リソースが1つのテナント専用に予約されている専用ホストを購入できます。 詳細については、「DDH とは」をご参照ください。

SGXは、CPU内のメモリ暗号化エンジン (MEE) を使用して、暗号化メモリ内のデータを暗号化します。 暗号化されたデータは、CPUに入力された後にのみ平文に復号されます。 CPUは、悪意のあるコードによるプライベートデータの抽出を防ぎます。 したがって、vSGXインスタンスを使用すると、オペレーティングシステム、仮想化スタック、またはBIOSが侵害されても、データは保護されたままになります。 プライベートデータを安全に保つには、CPUを信頼するだけです。 SGXの使用方法については、「SGX暗号化コンピューティング環境の構築」をご参照ください。

インスタンスファミリーの安全なコンピューティング機能のサポート

インスタンスファミリー 信頼できるコンピューティング SGX暗号化コンピューティング
対応 対応
対応 非対応