Udostępnij za pośrednictwem


Zalecenia wstępne

Ten dokument został zaprojektowany tak, aby ułatwić ci proces wybierania oferty kontenerów w usłudze Azure Confidential Computing, która najlepiej odpowiada wymaganiom obciążeń i stanowi zabezpieczeń. Aby jak najlepiej wykorzystać ten przewodnik, zalecamy następujące wstępnie wczytane elementy.

Macierz decyzji obliczeniowych platformy Azure

Zapoznaj się z ogólnymi ofertami usługi Azure Compute, aby zrozumieć szerszy kontekst, w którym działa poufne przetwarzanie na platformie Azure.

Wprowadzenie do poufnego przetwarzania na platformie Azure

Usługa Azure Confidential Computing oferuje rozwiązania umożliwiające izolację poufnych danych podczas ich przetwarzania w chmurze. Więcej informacji na temat poufnego przetwarzania na platformie Azure można przeczytać.

Zaświadczanie

Zaświadczenie to proces zapewniający zapewnienie integralności i tożsamości środowiska sprzętowego i programowego, w których działają aplikacje. W przypadku poufnego przetwarzania zaświadczenie umożliwia sprawdzenie, czy aplikacje działają na zaufanym sprzęcie i w zaufanym środowisku wykonywania.

Dowiedz się więcej na temat zaświadczania i usługi zaświadczania microsoft Azure na platformie Azure na platformie Azure

Definicja izolacji pamięci

W przypadku przetwarzania poufnego izolacja pamięci jest krytyczną funkcją, która chroni dane podczas przetwarzania. Konsorcjum poufnego przetwarzania definiuje izolację pamięci jako:

"Izolacja pamięci to możliwość zapobiegania nieautoryzowanemu dostępowi do danych w pamięci, nawet jeśli osoba atakująca naruszyła system operacyjny lub inne uprzywilejowane oprogramowanie. Jest to osiągane przy użyciu funkcji opartych na sprzęcie w celu utworzenia bezpiecznego i izolowanego środowiska dla poufnego obciążenia.

Wybieranie oferty kontenera w usłudze Azure Confidential Computing

Usługa Azure Confidential Computing oferuje różne rozwiązania do wdrażania kontenerów i zarządzania nimi, z których każdy jest dostosowany do różnych poziomów izolacji i możliwości zaświadczania.

Bieżące potrzeby instalacyjne i operacyjne określają najbardziej odpowiednią ścieżkę w tym dokumencie. Jeśli już korzystasz z usługi Azure Kubernetes Service (AKS) lub masz zależności od interfejsów API platformy Kubernetes, zalecamy przestrzeganie ścieżek usługi AKS. Z drugiej strony, jeśli przechodzisz z konfiguracji maszyny wirtualnej i interesuje Cię eksplorowanie kontenerów bezserwerowych, ścieżka ACI (Azure Container Instances) powinna być interesująca.

Azure Kubernetes Service (AKS)

Poufne węzły procesu roboczego maszyny wirtualnej

  • Zaświadczenie gościa: możliwość sprawdzenia, czy korzystasz z poufnej maszyny wirtualnej dostarczonej przez platformę Azure.
  • Izolacja pamięci: izolacja na poziomie maszyny wirtualnej z unikatowym kluczem szyfrowania pamięci na maszynę wirtualną.
  • Model programowania: zero do minimalnych zmian w przypadku aplikacji konteneryzowanych. Obsługa jest ograniczona do kontenerów opartych na systemie Linux (kontenerów korzystających z obrazu podstawowego systemu Linux dla kontenera).

Więcej informacji na temat rozpoczynania pracy z węzłami roboczymi CVM z obciążeniem lift and shift można znaleźć w puli węzłów CVM.

Poufne kontenery w usłudze AKS

  • Pełne zaświadczenie gościa: umożliwia zaświadczenie pełnego poufnego środowiska obliczeniowego, w tym obciążenia.
  • Izolacja pamięci: izolacja na poziomie węzła z unikatowym kluczem szyfrowania pamięci na maszynę wirtualną.
  • Model programowania: zero do minimalnych zmian dla konteneryzowanych aplikacji (kontenery używające obrazu podstawowego systemu Linux dla kontenera).
  • Idealne obciążenia: aplikacje z przetwarzaniem poufnych danych, obliczeniami wielopartyjnymi i wymaganiami dotyczącymi zgodności z przepisami.

Więcej informacji można znaleźć w witrynie Confidential Containers with Azure Kubernetes Service (Kontenery poufne w usłudze Azure Kubernetes Service).

Poufne węzły obliczeniowe z funkcją Intel SGX

  • Zaświadczenie enklawy aplikacji: umożliwia zaświadczenie o uruchomionym kontenerze w scenariuszach, w których maszyna wirtualna nie jest zaufana, ale tylko aplikacja jest zaufana, zapewniając podwyższony poziom zabezpieczeń i zaufania w środowisku wykonywania aplikacji.
  • Izolacja: izolacja na poziomie procesu.
  • Model programowania: wymaga użycia systemu operacyjnego lub rozwiązania dostawcy biblioteki open source do uruchamiania istniejących konteneryzowanych aplikacji. Obsługa jest ograniczona do kontenerów opartych na systemie Linux (kontenerów korzystających z obrazu podstawowego systemu Linux dla kontenera).
  • Idealne obciążenia: aplikacje o wysokim poziomie zabezpieczeń, takie jak systemy zarządzania kluczami.

Więcej informacji o ofercie i naszych rozwiązaniach partnerskich można znaleźć tutaj.

Praca bezserwerowa

Poufne kontenery w usłudze Azure Container Instances (ACI)

  • Pełne zaświadczenie gościa: umożliwia zaświadczenie pełnego poufnego środowiska obliczeniowego, w tym obciążenia.
  • Izolacja: izolacja na poziomie grupy kontenerów z unikatowym kluczem szyfrowania pamięci dla grupy kontenerów.
  • Model programowania: zero do minimalnych zmian w przypadku aplikacji konteneryzowanych. Obsługa jest ograniczona do kontenerów opartych na systemie Linux (kontenerów korzystających z obrazu podstawowego systemu Linux dla kontenera).
  • Idealne obciążenia: szybkie opracowywanie i wdrażanie prostych konteneryzowanych obciążeń bez orkiestracji. Obsługa skalowania z usługi AKS przy użyciu węzłów wirtualnych.

Więcej szczegółów można znaleźć na stronie Wprowadzenie do funkcji Poufne kontenery w usłudze ACI.

Dowiedz się więcej

Poufne maszyny wirtualne Intel SGX na platformie Azure Poufne kontenery na platformie Azure