Sdílet prostřednictvím

Modely nasazení v důvěrném výpočetním prostředí

  • Článek

Důvěrné výpočetní prostředí Azure podporuje více modelů nasazení. Tyto modely podporují širokou škálu požadavků na zabezpečení zákazníků pro moderní cloud computing.

Infrastruktura jako služba (IaaS)

V rámci modelu nasazení infrastruktura jako služba (IaaS) v cloud computingu můžete použít:

  • Důvěrné virtuální počítače založené na technologii AMD SEV-SNP nebo Intel TDX pro izolaci virtuálních počítačů.
  • Enklávy aplikací s Intel SGX pro izolaci aplikací

Tyto možnosti poskytují organizacím různé modely nasazení v závislosti na hranici důvěryhodnosti nebo požadovaném snadném nasazení.

Diagram znázorňující hranice důvěryhodnosti zákazníků důvěrných výpočetních technologií

Model nasazení IaaS uděluje přístup k škálovatelným výpočetním prostředkům (jako jsou servery, úložiště, sítě a virtualizace) na vyžádání. Když organizace přijmou model nasazení IaaS, můžou proces nákupu, konfigurace a správy vlastní infrastruktury postupovat. Místo toho platí jenom za prostředky, které používají. Díky této možnosti je IaaS nákladově efektivní řešení.

V oblasti cloud computingu model nasazení IaaS umožňuje firmám pronajmout si jednotlivé služby od poskytovatelů cloudových služeb, jako je Azure. Azure přebírá odpovědnost za správu a údržbu infrastruktury, aby se organizace mohly soustředit na instalaci, konfiguraci a správu softwaru. Azure také nabízí doplňkové služby, jako je komplexní správa fakturace, protokolování, monitorování, odolnost úložiště a zabezpečení.

Škálovatelnost je další výhodou modelu nasazení IaaS v cloud computingu. Podniky můžou rychle škálovat své prostředky nahoru a dolů podle svých požadavků. Tato flexibilita usnadňuje rychlejší životní cykly vývoje, což zrychluje dobu uvedení nových produktů a nápadů na trh. Model nasazení IaaS také pomáhá zajistit spolehlivost odstraněním kritických bodů selhání. I když hardwarová komponenta selže, zůstane služba dostupná.

Stručně řečeno, model nasazení IaaS v kombinaci s důvěrnými výpočetními prostředky Azure nabízí výhody, jako jsou úspory nákladů, vyšší efektivita, příležitosti k inovacím, spolehlivost a vysoká škálovatelnost. Využívá robustní a komplexní řešení zabezpečení navržené k ochraně vysoce citlivých dat.

Platforma jako služba

Pro platformu jako službu (PaaS) můžete použít důvěrné kontejnery v důvěrném výpočetním prostředí. Tato nabídka zahrnuje kontejnery podporující enklávy ve službě Azure Kubernetes Service (AKS).

Výběr správného modelu nasazení závisí na mnoha faktorech. Možná budete muset zvážit existenci starších aplikací, funkcí operačního systému a migrace z místních sítí.

I když existuje mnoho důvodů k používání virtuálních počítačů, kontejnery poskytují větší flexibilitu pro mnoho softwarových prostředí moderního IT prostředí. Kontejnery můžou podporovat aplikace, které:

  • Spusťte v několika cloudech.
  • Připojte se k mikroslužbám.
  • Používejte různé programovací jazyky a architektury.
  • Používejte automatizaci a Azure Pipelines, včetně implementace kontinuální integrace a průběžného nasazování (CI/CD).

Kontejnery také zvyšují přenositelnost aplikací a zlepšují využití prostředků použitím elasticity cloudu Azure.

Za normálních okolností můžete své řešení nasadit na důvěrné virtuální počítače, pokud:

  • Máte starší verze aplikací, které nelze upravovat ani kontejnerizovat. Během zpracování dat ale stále potřebujete zavést ochranu dat v paměti.
  • Používáte více aplikací, které vyžadují různé operační systémy (operační systémy) v jedné části infrastruktury.
  • Chcete emulovat celé výpočetní prostředí včetně všech prostředků operačního systému.
  • Migrujete stávající virtuální počítače z místního prostředí do Azure.

Pokud se rozhodnete pro důvěrný přístup založený na kontejnerech, můžete zvolit:

  • Máte obavy o náklady a přidělení zdrojů. Pro nasazení vlastních aplikací a datových sad ale potřebujete agilnější platformu.
  • Vytváříte moderní řešení nativní pro cloud. Máte také úplnou kontrolu nad zdrojovým kódem a procesem nasazení.
  • Potřebujete podporu pro více cloudů.

Obě možnosti nabízejí nejvyšší úroveň zabezpečení pro služby Azure.

Porovnání hranic zabezpečení

V stavech zabezpečení důvěrných virtuálních počítačů a důvěrných kontejnerů existují určité rozdíly.

Důvěryhodné virtuální počítače

Důvěrné virtuální počítače nabízejí hardwarově zašifrovanou ochranu celého virtuálního počítače před neoprávněným přístupem správcem hostitele. Tato úroveň obvykle zahrnuje hypervisor, který spravuje poskytovatel CSP. Tento typ důvěrného virtuálního počítače můžete použít, abyste zabránili poskytovateli CSP v přístupu k datům a kódu spuštěným v rámci virtuálního počítače.

Správci virtuálních počítačů nebo jakékoli jiné aplikace nebo služby spuštěné uvnitř virtuálního počítače fungují mimo hranice. Tito uživatelé a služby mají přístup k datům a kódu v rámci virtuálního počítače.

Diagram znázorňující hranici důvěryhodnosti zákazníků s důvěrnými technologiemi virtuálních počítačů

Enklávy aplikací

Enklávy aplikací pomáhají chránit prostory paměti ve virtuálním počítači pomocí hardwarového šifrování. Hranice zabezpečení enkláv aplikací je omezena než hranice důvěrných virtuálních počítačů. Pro Intel SGX platí hranice zabezpečení pro části paměti v rámci virtuálního počítače. Správci hosta, aplikace a služby spuštěné v rámci virtuálního počítače nemají přístup k žádným datům a kódu při provádění uvnitř enklávy.

Intel SGX vylepšuje zabezpečení aplikací tím, že izoluje použitá data. Vytvoří zabezpečené enklávy, které brání změnám vybraného kódu a dat, aby k nim mohl přistupovat pouze autorizovaný kód. I s oprávněními vysoké úrovně nemají entity mimo enklávu (včetně operačního systému a hypervisoru) přístup k paměti enklávy prostřednictvím standardních volání. Přístup k funkcím enklávy vyžaduje specifické instrukce procesoru Intel SGX, které zahrnují více kontrol zabezpečení.

Diagram znázorňující hranice důvěryhodnosti zákazníka technologií enklávy aplikací

Související obsah