A Microsoft a Hot Chips 2025 idején részletezte, milyen újabb biztonsági réteget alkalmaz az Azure felhőszolgáltatások kibertámadásokkal szembeni védelméhez. Mivel a kibertámadások egyre kifinomultabbak és egyre hatékonyabbak, a folyamat során pedig egyre inkább bevetik az AI-ban rejlő lehetőségeket, kulcsfontosságú, hogy a védelem is szintet lépjen, hiszen csak így biztosítható a felhasználói adatok védelme. Ráadásul az Azure felhőszolgáltatást nemcsak üzleti-, hanem kormányzati felhasználók is igénybe veszik, így mindenképpen fontos, hogy a biztonsági szint is kellően magas legyen.

A legújabb védelmi vonal gyakorlatilag egy chip formájában érkezik, ami a szerveralaplapok részeként foglalhat helyet az infrastruktúrán belül, feladata pedig az, hogy fokozza a kibertámadásokkal szembeni védelmet. A több rétegre támaszkodó biztonsági mechanizmus eddig jól működött, a Microsoft sikeresen megvédte a felhasználókat és adataikat a kívülről érkező támadásokkal szemben, de a jövőben tovább fokozzák a védelmet. Ennek részét képezi a szilícium alapú páncélként viselkedő hardveres biztonsági modul (HSM – Hardware Security Module), illetve a Caliptra Root of Trust 2.0 alapját képező chip is. Ezeknek köszönhetően a rendszer dedikált chipek segítségével ellenőrizheti a kriptográfia kulcsokat, átestek-e bármiféle módosításon, valamint tárolhatja is őket, és ha szükséges bizonyos műveleteket is végrehajthat velük mielőtt elérnék a processzort, ezzel tovább fokozva a biztonságot.

A Microsoft szakembere, Bryan Kelly ki is fejtette, hogyan épül fel és hogyan működik a rendszer. A biztonságtechnika területén dolgozó mérnök szerint ezek a specializált hardverkomponensek külön kerülnek telepítésre és külön fürtökben foglalnak helyet, ami bizonyos szempontok szerint pozitívum, viszont egyes esetekben nehéz őket skálázni a számítási és AI infrastruktúra növekedésével. Egy másik kihívás, hogy ezeket távoli elérésben lehet használni, vagyis amikor egy munkafolyamat hozzá szeretne férni a kulcsokhoz, amelyek a HSM-ek fedélzetén találhatóak, először egy TLS kapcsolatot kell létrehoznia a HSM felé, majd részleteznie kel, milyen művelet végrehajtására van szükség a kulcs felhasználásával, és ha ez kész, megkapja az adatot. Ez a folyamat időt vesz igénye, ezáltal extra késleltetést jelent, ami egyes munkafolyamatok esetében egyszerűen nem praktikus.

A HSM-ek nyújtotta biztonsági funkciókból lényegében az összes felhő alapú virtuális konfiguráció profitálhat, ám azokban az esetekben, amikor késleltetésre érzékeny munkavégzésre kerül sor – ez lehet AI vagy HPC jellegű –, a HSM-ek alkalmazása nem ideális, helyettük másféle biztonsági megközelítést kell alkalmazni. A védelmet egyébként tovább fokozzák az olyan nyílt forráskódú projektek, amilyen például a fentebb említett Calipra RoT 2.0, hiszen ezek a teljes szerver-infrastruktúrába be vannak integrálva, így extra biztonsági réteget nyújtanak, ami segít a kibertámadások elleni védelem fokozásában.

A védelmi vonal részeként a processzorok és a grafikus processzorok is saját megbízható végrehajtó környezeteket használhatnak (Trusted Execution Environments), amelyekkel biztosítható a virtuális gépek és a megosztott hardveres erőforrások védelme.

A felhőszolgáltatók esetében egyre fontosabb, hogy minél magasabb biztonsági szintet kínáljanak a felhasználók és érzékeny adataik számára, főleg azért is, mert ezek a szolgáltatások egyre inkább növekszenek, egyre több klienst szolgálnak ki, így a támadási felület is növekszik. Utóbbiban az AI rosszándékú felhasználása is szerepet játszik, ami ugyancsak egyre fokozódik, azaz a kiberbűnözők egyre szerte ágazóbb eszközkészletet vethetnek be a siker érdekében, amivel mindenképpen fel kell venniük a versenyt a különböző felhőszolgáltatóknak és az egyéb vállalatoknak is.