Compartilhar via


Contêineres confidenciais no Azure

Os contêineres confidenciais fornecem um conjunto de recursos e funcionalidades para proteger ainda mais as cargas de trabalho de contêiner padrão, para alcançar metas mais altas de segurança de dados, privacidade de dados e integridade de código de runtime. Contêineres confidenciais são executados em um TEE (Ambiente de Execução Confiável) com suporte de hardware que fornece funcionalidades intrínsecas, como integridade de dados, confidencialidade de dados e integridade de código. O Azure oferece um portfólio de recursos por meio de diferentes opções de serviço de contêiner confidencial, conforme discutido abaixo.

Benefícios

Os contêineres confidenciais no Azure são executados em ambientes TEE baseados em enclave ou TEE baseados em VM. Ambos os modelos de implantação ajudam a obter alto isolamento e criptografia de memória por meio de garantias baseadas em hardware. A computação confidencial pode ajudar você com a sua postura de segurança de implantação de confiança Zero do Azure, protegendo o espaço de memória por meio da criptografia.

Veja abaixo as características de contêineres confidenciais:

  • Permite a execução de imagens de contêiner padrão existentes, sem alterações de código (lift-and-shift) em um TEE
  • Capacidade de estender/criar novos aplicativos que tenham reconhecimento de computação confidencial
  • Permite desafiar remotamente o ambiente de runtime para a prova criptográfica que indica o que foi iniciado, conforme relatado pelo processador seguro
  • Fornece garantias consideráveis da confidencialidade de dados, integridade de código e integridade de dados em um ambiente de nuvem com ofertas de computação confidencial baseadas em hardware
  • Ajuda a isolar os contêineres em relação a outros grupos de contêineres/pods, bem como em relação ao kernel do SO do nó da VM

Contêineres confidenciais isolados de VM na Instâncias de Contêiner do Azure (ACI)

Contêineres confidenciais na ACI permitem a implantação rápida e fácil de contêineres nativamente no Azure e com a capacidade de proteger dados e código em uso graças aos processadores AMD EPYC™, com recursos de computação confidenciais. Isso ocorre porque seus contêineres são executados em um TEE (Ambiente de Execução Confiável) atestado e baseado em hardware sem a necessidade de adotar um modelo de programação especializado e sem sobrecarga de gerenciamento de infraestrutura. Com esta inicialização, você obtém:

  1. Atestado de convidado completo, que reflete a medida criptográfica de todos os componentes de hardware e software em execução em sua TCB (Base de Computação Confiável).
  2. Ferramentas para gerar políticas que serão impostas no Ambiente de Execução Confiável.
  3. Contêineres de sidecar de software livre para versão de chave segura e sistemas de arquivos criptografados.

Gráfico da ACI.

Contêineres confidenciais em um enclave Intel SGX por meio do OSS ou de software de parceiro

O AKS (Serviço de Kubernetes do Azure) dá suporte à adição de nós de VM de computação confidencial do Intel SGX como pools de agentes em um cluster. Esses nós permitem executar cargas de trabalho confidenciais em um TEE baseado em hardware. Os TEEs permitem que um código em nível de usuário de contêineres aloque regiões privadas de memória para executar o código diretamente na CPU. Essas regiões de memória privada que são executadas diretamente na CPU são chamadas de enclaves. Os enclaves ajudam a proteger a integridade e a confidencialidade dos dados, bem como a integridade do código contra outros processos em execução nos mesmos nós, bem como no operador do Azure. O modelo de execução do Intel SGX também remove camadas intermediárias do SO Convidado, do SO Host e do Hipervisor, reduzindo a área da superfície de ataque. O modelo de execução isolada por contêiner baseado em hardware em um nó permite que aplicativos sejam executados diretamente na CPU, mantendo um bloco especial de memória criptografada por contêiner. Os nós de computação confidencial com contêineres confidenciais são um excelente complemento para um planejamento de segurança de confiança zero e uma estratégia de contêiner de defesa completa. Saiba mais sobre essa funcionalidade aqui

Gráfico do Nó de Computação Confidencial do AKS, mostrando contêineres confidenciais com código e dados protegidos no interior.

Alguma dúvida?

Se você tiver dúvidas sobre as ofertas de contêiner, entre em contato com acconaks@microsoft.com.

Próximas etapas