Letture raccomandate
Questo documento è progettato per semplificare il processo di selezione dell'offerta di contenitore in confidential computing di Azure più adatta ai requisiti del carico di lavoro e al comportamento di sicurezza. Per sfruttare al meglio la guida, è consigliabile leggere prima gli articoli seguenti.
Matrice delle decisioni per Calcolo di Azure
Familiarizzare con le offerte di Calcolo di Azure generali per comprendere il contesto più ampio in cui opera Il confidential computing di Azure.
Introduzione al confidential computing di Azure
Il confidential computing di Azure offre soluzioni per consentire l'isolamento dei dati sensibili durante l'elaborazione nel cloud. Altre informazioni sul confidential computing sono disponibili in Confidential computing di Azure.
Attestazione
L'attestazione è un processo che garantisce l'integrità e l'identità degli ambienti hardware e software in cui vengono eseguite le applicazioni. Nel confidential computing l'attestazione consente di verificare che le applicazioni siano in esecuzione su hardware attendibile e in un ambiente di esecuzione attendibile.
Per altre informazioni sull'attestazione e sul servizio attestazione di Microsoft Azure, vedere Attestazione in Azure
Definizione di isolamento della memoria
Nel confidential computing, l'isolamento della memoria è una funzionalità fondamentale che protegge i dati durante l'elaborazione. Il Confidential Computing Consortium definisce così l'isolamento della memoria:
"L'isolamento della memoria è la capacità di impedire l'accesso non autorizzato ai dati in memoria, anche se l'utente malintenzionato ha compromesso il sistema operativo o altro software con privilegi. A tale scopo, si usano funzionalità basate su hardware per creare un ambiente sicuro e isolato per il carico di lavoro riservato".
Scelta di un'offerta di contenitore per il confidential computing di Azure
Il confidential computing di Azure offre diverse soluzioni per la distribuzione e la gestione dei contenitori, ognuna personalizzata per diversi livelli di isolamento e funzionalità di attestazione.
Le esigenze operative e di configurazione correnti determinano il percorso più pertinente per la lettura di questo documento. Se si usa già il servizio Azure Kubernetes o si hanno dipendenze dalle API Kubernetes, è consigliabile seguire i percorsi del servizio Azure Kubernetes. D'altra parte, se si è in fase di transizione da una configurazione con macchine virtuali e si è interessati all'esplorazione dei contenitori serverless, sarà interessante il percorso con Istanze di Azure Container.
Servizio Azure Kubernetes (AKS)
Nodi di lavoro di macchine virtuali riservate
- Attestazione guest: possibilità di verificare che si stia operando su una macchina virtuale riservata fornita da Azure.
- Isolamento della memoria: isolamento a livello di macchina virtuale con chiave di crittografia della memoria univoca per ogni macchina virtuale.
- Modello di programmazione: da zero modifiche a modifiche minime per le applicazioni in contenitori. Il supporto è limitato ai contenitori basati su Linux, ovvero contenitori che usano un'immagine di base Linux per il contenitore.
Per altre informazioni, vedere Introduzione ai nodi di lavoro di macchine virtuali riservate con un carico di lavoro lift-and-shift per il pool di nodi delle macchine virtuali riservate..
Contenitori riservati nel servizio Azure Kubernetes
- Attestazione guest completa: abilita l'attestazione dell'ambiente di confidential computing completo, incluso il carico di lavoro.
- Isolamento della memoria: isolamento a livello di nodo con chiave di crittografia della memoria univoca per ogni macchina virtuale.
- Modello di programmazione: da zero modifiche a modifiche minime per le applicazioni in contenitori (contenitori che usano un'immagine di base Linux per il contenitore).
- Carichi di lavoro ideali: applicazioni con elaborazione di dati sensibili, calcoli che coinvolgono più parti e requisiti di conformità alle normative.
Per altre informazioni, vedere Contenitori riservati con il servizio Azure Kubernetes.
Nodi di confidential computing con Intel SGX
- Attestazione dell'enclave dell'applicazione: abilita l'attestazione del contenitore in esecuzione, in scenari in cui la macchina virtuale non è attendibile ma solo l'applicazione è attendibile, garantendo un livello di sicurezza e attendibilità più alto nell'ambiente di esecuzione dell'applicazione.
- Isolamento: isolamento a livello di processo.
- Modello di programmazione: richiede l'uso di soluzioni del sistema operativo o del fornitore di librerie open source per eseguire applicazioni in contenitori esistenti. Il supporto è limitato ai contenitori basati su Linux, ovvero contenitori che usano un'immagine di base Linux per il contenitore.
- Carichi di lavoro ideali: applicazioni a sicurezza elevata, ad esempio sistemi di gestione delle chiavi.
Altre informazioni sull'offerta e sulle soluzioni dei partner sono disponibili qui.
Senza server
Contenitori riservati in Istanze di Azure Container
- Attestazione guest completa: abilita l'attestazione dell'ambiente di confidential computing completo, incluso il carico di lavoro.
- Isolamento: isolamento a livello di gruppo di contenitori con una chiave di crittografia della memoria univoca per ogni gruppo di contenitori.
- Modello di programmazione: da zero modifiche a modifiche minime per le applicazioni in contenitori. Il supporto è limitato ai contenitori basati su Linux, ovvero contenitori che usano un'immagine di base Linux per il contenitore.
- Carichi di lavoro ideali: sviluppo rapido e distribuzione di carichi di lavoro in contenitori semplici senza orchestrazione. Supporto per il bursting dal servizio Azure Kubernetes tramite nodi virtuali.
Per altre informazioni, vedere Introduzione ai contenitori riservati in Istanze di Azure Container.
Altre informazioni
Macchine virtuali riservate Intel SGX in AzureContenitori riservati in Azure