אינטל ישראל ומיקרוסופט הסירו מגבלה מרכזית בענן המאובטח

14 יוני, 2026

פיתוח של קבוצת הסקיוריטי של אינטל בחיפה מאפשר לראשונה להעביר מכונות וירטואליות מוצפנות בין שרתי Azure ללא השבתה. הצעד עשוי להאיץ את האימוץ של Confidential Computing בארגונים רגישים

בתמונה למעלה: צוות המהנדסים באינטל ישראל שפיתח את הפיתרון. קרדיט צילום: אביב הראל

מאת יוחאי שויגר

מיקרוסופט הכריזה בכנס Build בסיאטל על יכולת חדשה בשם Confidential Live Migration, המאפשרת להעביר מכונות וירטואליות מוצפנות בין שרתים במרכזי הנתונים של Azure מבלי לעצור אותן. מאחורי הפיתוח עומד צוות של כ-20 מהנדסים מקבוצת הסקיוריטי של אינטל ישראל, שפיתח את היכולת כחלק מפלטפורמת Intel TDX המשולבת במעבדי השרתים של החברה.

היכולת החדשה פותרת מגבלה משמעותית בעולם ה-Confidential Computing – תחום שנועד לאפשר לארגונים להריץ יישומים ונתונים רגישים בענן תוך הגנה גם מפני מפעיל הענן עצמו. בעוד שמכונות וירטואליות רגילות ניתנות כבר שנים להעברה בין שרתים בזמן אמת לצורכי תחזוקה, איזון עומסים או עדכוני מערכת, מכונות מוצפנות נדרשו עד כה להשבתה זמנית בכל פעם שהיה צורך להעבירן לשרת אחר.

הסיבה לכך נעוצה במנגנוני ההגנה עצמם. בטכנולוגיות כמו Intel TDX, זיכרון המכונה הווירטואלית מוצפן ומבודד ברמת החומרה, כך שגם מערכת ההפעלה של השרת, תוכנת הניהול של הענן ואפילו אנשי התפעול של ספק הענן אינם יכולים לגשת לתוכן המידע. ההגנה הזו מספקת שכבת אבטחה נוספת לארגונים פיננסיים, גופי בריאות, מוסדות ממשלתיים ולקוחות נוספים המחזיקים מידע רגיש במיוחד.

"הפיצ'ר הזה הוא פיתוח ישראלי מלא", אומר בועז תמיר, מנהל בכיר באינטל. "אנחנו מעבירים מכונה מוצפנת תוך כדי שהיא רצה, משרת לשרת, בלי שהלקוח מרגיש כלום. מבחינת הלקוחות, המשמעות היא זמינות גבוהה יותר של השירותים, ומבחינת ספק הענן, יכולת לנהל את התשתית בלי להתפשר על מודל האבטחה."

לדברי תמיר, כל הארכיטקטורה, הפיתוח והוולידציה של היכולת החדשה בוצעו על ידי צוות הסקיוריטי של אינטל בחיפה. האתגר ההנדסי כלל העברת מצב הריצה של המכונה, הזיכרון המוצפן, מפתחות ההצפנה ומנגנוני האמון בין שני שרתים שונים, תוך אימות קריפטוגרפי של סביבת היעד ושמירה על רציפות מלאה של השירות.

כדי להבין את חשיבות הפיתוח, צריך להכיר את Intel TDX ‏(Trust Domain Extensions), אחת מטכנולוגיות האבטחה המרכזיות שפיתחה אינטל עבור מעבדי ה-Xeon שלה. TDX מאפשר ליצור סביבות מחשוב מבודדות ומוצפנות, המכונות Trust Domains, שבהן גם מערכת ההפעלה של השרת, תוכנות הניהול של ספק הענן ואפילו מפעיל מרכז הנתונים עצמו אינם יכולים לגשת למידע המעובד. למעשה, מדובר בניסיון של אינטל להעביר את מודל האמון של חומרה מאובטחת אל עולם מרכזי הנתונים והענן הציבורי.

הטכנולוגיה היא חלק מתחום ה-Confidential Computing, שנחשב כיום לאחד מתחומי הצמיחה הבולטים בעולם תשתיות הענן. בעוד שבעבר התמקדו ארגונים בהצפנת מידע בזמן אחסון או בזמן העברתו ברשת, מחשוב סודי נועד להגן על המידע גם בזמן שהוא מעובד בפועל. המשמעות היא שגם כאשר הנתונים נמצאים בזיכרון השרת ומעובדים על ידי יישומים או מודלי בינה מלאכותית, הם נשארים מוגנים מפני גורמים שאינם מורשים.

הדרישה ליכולות כאלה הולכת וגוברת עם המעבר של עומסי עבודה רגישים לענן. בנקים, חברות ביטוח, גופי בריאות, ארגוני ממשל וחברות טכנולוגיה מבקשים לנצל את יתרונות הענן הציבורי, אך במקביל לצמצם את הצורך לתת אמון מלא בספק התשתית. במקביל, גם מהפכת הבינה המלאכותית מגדילה את החשיבות של התחום, שכן יותר ויותר מודלים נדרשים לעבד מידע רפואי, פיננסי, תעשייתי וביטחוני רגיש.

מבחינת מיקרוסופט, היכולת החדשה מסירה אחת המגבלות המרכזיות שאפיינו עד כה את שירותי ה-Confidential Computing בענן. עד היום, פעולות תחזוקה שגרתיות כמו עדכוני שרתים, החלפת חומרה או איזון עומסים חייבו לעיתים השבתה זמנית של המכונה המוצפנת. כעת ניתן לבצע את אותן פעולות באופן שקוף למשתמש, בדומה למכונות וירטואליות רגילות, מבלי לוותר על מנגנוני ההגנה.

הפיתוח גם מדגיש את תפקידה של אינטל ישראל בפיתוח טכנולוגיות ליבה עבור פלטפורמת TDX העולמית. בניגוד לפיתוח תוכנה המיועד ללקוח מסוים, TDX הוא רכיב יסוד בארכיטקטורת האבטחה של מעבדי השרתים של אינטל. המשמעות היא שהידע והיכולות שנבנים במסגרת הפרויקט משתלבים בפלטפורמה רחבה יותר שעליה נשענים שירותי ענן ויישומים מאובטחים ברחבי העולם.

במקביל לפריסת היכולת החדשה ב-Azure על משפחות השרתים DCesv6, ECesv6, DCedsv6 ו-ECedsv6, באינטל כבר עובדים על הדור הבא של טכנולוגיות המחשוב הסודי. בחברה מציינים כי צוות הפיתוח של TDX בישראל מפתח גם יכולת חדשה בשם TDX Connect, שאמורה להרחיב עוד יותר את אפשרויות השימוש במחשוב מאובטח במרכזי נתונים.

אם בעשור האחרון התחרות בין ספקיות הענן התמקדה בעיקר בביצועים, במחיר וביכולות AI, בשנים הקרובות אחד משדות הקרב המרכזיים עשוי להיות היכולת להבטיח שגם ספק הענן עצמו אינו יכול לגשת למידע של לקוחותיו. הפיתוח המשותף של מיקרוסופט ואינטל מצביע על הכיוון שאליו הולכת התעשייה – ענן שבו אבטחה, פרטיות וזמינות גבוהה נדרשות להתקיים במקביל, ללא פשרות.

רוצים להישאר מעודכנים? הירשמו למטה לקבלת הניוזלטר השבועי שלנו

Share via Whatsapp

פורסם בקטגוריות: אבטחת סייבר , חדשות

פורסם בתגיות: Azure , Confidential Live Migration , אינטל ישראל , בועז תמיר , הצפנה , מכונות וירטואליות

כתבות נוספות העשויות לעניין אותך

זינוק של עשרות אחוזים במתקפות כופר וגניבת זהויות דיגיטליות

הרעלת מודלים והטעיית AI: סיכוני הסייבר החדשים מגיעים לתעשיית הרכב

ארמורי דיפנס מתרחבת להודו וחותמת על שיתוף פעולה עם Damco