Zalecenia wstępne
Ten dokument został zaprojektowany tak, aby ułatwić ci proces wybierania oferty kontenerów w usłudze Azure Confidential Computing, która najlepiej odpowiada wymaganiom obciążeń i stanowi zabezpieczeń. Aby jak najlepiej wykorzystać ten przewodnik, zalecamy następujące wstępnie wczytane elementy.
Macierz decyzji obliczeniowych platformy Azure
Zapoznaj się z ogólnymi ofertami usługi Azure Compute, aby zrozumieć szerszy kontekst, w którym działa poufne przetwarzanie na platformie Azure.
Wprowadzenie do poufnego przetwarzania na platformie Azure
Usługa Azure Confidential Computing oferuje rozwiązania umożliwiające izolację poufnych danych podczas ich przetwarzania w chmurze. Więcej informacji na temat poufnego przetwarzania na platformie Azure można przeczytać.
Zaświadczanie
Zaświadczenie to proces zapewniający zapewnienie integralności i tożsamości środowiska sprzętowego i programowego, w których działają aplikacje. W przypadku poufnego przetwarzania zaświadczenie umożliwia sprawdzenie, czy aplikacje działają na zaufanym sprzęcie i w zaufanym środowisku wykonywania.
Dowiedz się więcej na temat zaświadczania i usługi zaświadczania microsoft Azure na platformie Azure na platformie Azure
Definicja izolacji pamięci
W przypadku przetwarzania poufnego izolacja pamięci jest krytyczną funkcją, która chroni dane podczas przetwarzania. Konsorcjum poufnego przetwarzania definiuje izolację pamięci jako:
"Izolacja pamięci to możliwość zapobiegania nieautoryzowanemu dostępowi do danych w pamięci, nawet jeśli osoba atakująca naruszyła system operacyjny lub inne uprzywilejowane oprogramowanie. Jest to osiągane przy użyciu funkcji opartych na sprzęcie w celu utworzenia bezpiecznego i izolowanego środowiska dla poufnego obciążenia.
Wybieranie oferty kontenera w usłudze Azure Confidential Computing
Usługa Azure Confidential Computing oferuje różne rozwiązania do wdrażania kontenerów i zarządzania nimi, z których każdy jest dostosowany do różnych poziomów izolacji i możliwości zaświadczania.
Bieżące potrzeby instalacyjne i operacyjne określają najbardziej odpowiednią ścieżkę w tym dokumencie. Jeśli już korzystasz z usługi Azure Kubernetes Service (AKS) lub masz zależności od interfejsów API platformy Kubernetes, zalecamy przestrzeganie ścieżek usługi AKS. Z drugiej strony, jeśli przechodzisz z konfiguracji maszyny wirtualnej i interesuje Cię eksplorowanie kontenerów bezserwerowych, ścieżka ACI (Azure Container Instances) powinna być interesująca.
Azure Kubernetes Service (AKS)
Poufne węzły procesu roboczego maszyny wirtualnej
- Zaświadczenie gościa: możliwość sprawdzenia, czy korzystasz z poufnej maszyny wirtualnej dostarczonej przez platformę Azure.
- Izolacja pamięci: izolacja na poziomie maszyny wirtualnej z unikatowym kluczem szyfrowania pamięci na maszynę wirtualną.
- Model programowania: zero do minimalnych zmian w przypadku aplikacji konteneryzowanych. Obsługa jest ograniczona do kontenerów opartych na systemie Linux (kontenerów korzystających z obrazu podstawowego systemu Linux dla kontenera).
Więcej informacji na temat rozpoczynania pracy z węzłami roboczymi CVM z obciążeniem lift and shift można znaleźć w puli węzłów CVM.
Poufne kontenery w usłudze AKS
- Pełne zaświadczenie gościa: umożliwia zaświadczenie pełnego poufnego środowiska obliczeniowego, w tym obciążenia.
- Izolacja pamięci: izolacja na poziomie węzła z unikatowym kluczem szyfrowania pamięci na maszynę wirtualną.
- Model programowania: zero do minimalnych zmian dla konteneryzowanych aplikacji (kontenery używające obrazu podstawowego systemu Linux dla kontenera).
- Idealne obciążenia: aplikacje z przetwarzaniem poufnych danych, obliczeniami wielopartyjnymi i wymaganiami dotyczącymi zgodności z przepisami.
Więcej informacji można znaleźć w witrynie Confidential Containers with Azure Kubernetes Service (Kontenery poufne w usłudze Azure Kubernetes Service).
Poufne węzły obliczeniowe z funkcją Intel SGX
- Zaświadczenie enklawy aplikacji: umożliwia zaświadczenie o uruchomionym kontenerze w scenariuszach, w których maszyna wirtualna nie jest zaufana, ale tylko aplikacja jest zaufana, zapewniając podwyższony poziom zabezpieczeń i zaufania w środowisku wykonywania aplikacji.
- Izolacja: izolacja na poziomie procesu.
- Model programowania: wymaga użycia systemu operacyjnego lub rozwiązania dostawcy biblioteki open source do uruchamiania istniejących konteneryzowanych aplikacji. Obsługa jest ograniczona do kontenerów opartych na systemie Linux (kontenerów korzystających z obrazu podstawowego systemu Linux dla kontenera).
- Idealne obciążenia: aplikacje o wysokim poziomie zabezpieczeń, takie jak systemy zarządzania kluczami.
Więcej informacji o ofercie i naszych rozwiązaniach partnerskich można znaleźć tutaj.
Praca bezserwerowa
Poufne kontenery w usłudze Azure Container Instances (ACI)
- Pełne zaświadczenie gościa: umożliwia zaświadczenie pełnego poufnego środowiska obliczeniowego, w tym obciążenia.
- Izolacja: izolacja na poziomie grupy kontenerów z unikatowym kluczem szyfrowania pamięci dla grupy kontenerów.
- Model programowania: zero do minimalnych zmian w przypadku aplikacji konteneryzowanych. Obsługa jest ograniczona do kontenerów opartych na systemie Linux (kontenerów korzystających z obrazu podstawowego systemu Linux dla kontenera).
- Idealne obciążenia: szybkie opracowywanie i wdrażanie prostych konteneryzowanych obciążeń bez orkiestracji. Obsługa skalowania z usługi AKS przy użyciu węzłów wirtualnych.
Więcej szczegółów można znaleźć na stronie Wprowadzenie do funkcji Poufne kontenery w usłudze ACI.
Dowiedz się więcej
Poufne maszyny wirtualne Intel SGX na platformie Azure Poufne kontenery na platformie Azure