Microsoft ha svelato nuovi dettagli sul chip di sicurezza personalizzato che utilizza su ogni server Azure, progettato per contrastare quella che definisce una vera e propria “pandemia” di cybercrime, con un costo globale stimato di 10 trilioni di dollari l’anno.
Il chip, chiamato Azure Integrated HSM, era stato annunciato per la prima volta alla fine del 2024 ed è il fulcro di una più ampia architettura di sicurezza illustrata dall’azienda durante l’evento Hot Chips 2025.
La stima da trilioni di dollari colloca il cybercrime subito dietro Stati Uniti e Cina, ma davanti a Germania e Giappone, e di gran lunga superiore all’intero mercato dell’IA. Secondo Microsoft, l’entità della minaccia richiede cambiamenti sia a livello architetturale sia operativo.
Come riportato da ServeTheHome, durante l’evento l’azienda ha condiviso alcuni dati chiave: Azure conta oggi oltre 70 regioni e 400 data center, supportati da 275.000 miglia di fibra e 190 punti di presenza di rete, con un team di 34.000 ingegneri dedicati esclusivamente alla sicurezza.
Per affrontare il problema sul piano hardware, Microsoft è passata dal modello centralizzato di Hardware Security Module (HSM) a un chip personalizzato, l’Azure Integrated HSM. Questo ASIC proprietario è progettato per soddisfare i requisiti FIPS 140-3 Livello 3, offrendo resistenza alle manomissioni e protezione locale delle chiavi all’interno dei server. Integrando il chip in ogni sistema, le funzioni crittografiche non devono più passare attraverso cluster centralizzati, riducendo la latenza e consentendo di eseguire direttamente operazioni come AES, PKE e rilevamento delle intrusioni.
La creazione di un chip interno ha comportato dei compromessi: invece di scalare i moduli di sicurezza a livello di cluster, Microsoft ha dovuto dimensionarli per i singoli server. Il risultato, sostiene l’azienda, è un equilibrio tra prestazioni, efficienza e resilienza.
La società ha inoltre presentato la sua architettura “Secure by Design”, parte della Secure Future Initiative. Tra le innovazioni troviamo Azure Boost, che sposta i servizi del control plane su un controller dedicato isolandoli dai carichi di lavoro dei clienti, e il Datacenter Secure Control Module, che integra Hydra BMC e applica un silicon root of trust alle interfacce di gestione.
La protezione si estende anche agli ambienti multi-tenant grazie al confidential computing, basato su Trusted Execution Environments (TEE). Infine, Caliptra 2.0 - sviluppato in collaborazione con AMD, Google e Nvidia - consolida la sicurezza a livello di silicio e integra la crittografia post-quantistica tramite il progetto Adams Bridge.
