Поделиться через

Создание решений для конфиденциальных вычислений

  • Статья

Конфиденциальные вычисления Azure предлагают различные варианты создания конфиденциальных решений. Спектр вариантов зависит от включения сценариев "лифт и смена" существующих приложений до полного управления различными функциями безопасности. Эти функции включают управление уровнем доступа. Вы устанавливаете уровень доступа поставщика узла или гостевого оператора к данным и коду. Вы также можете контролировать доступ к другим корневому набору или вредоносным программам, которые могут скомпрометирует целостность рабочих нагрузок, выполняемых в облаке.

Решения

Такие технологии, как безопасные анклава или конфиденциальные виртуальные машины, позволяют клиентам выбирать подход, который они хотят принять в создании конфиденциальных решений.

  • Существующие приложения без доступа к исходному коду могут воспользоваться конфиденциальными виртуальными машинами на основе технологии AMD SEV-SNP для простого подключения к платформе конфиденциальных вычислений Azure.
  • Сложные рабочие нагрузки, включающие собственный код для защиты от любого вектора доверия, могут воспользоваться безопасной технологией анклавов приложений. В настоящее время Azure предлагает анклавы приложений на виртуальных машинах на основе Intel SGX. Intel SGX обеспечивает защиту данных и кода, выполняющихся в аппаратно зашифрованном пространстве памяти. Обычно для этих приложений требуется обмен данными с протестированным безопасным анклавам, который получается с помощью платформ с открытым кодом.
  • Контейнерные решения, работающие на конфиденциальных контейнерах, включенных в Служба Azure Kubernetes, могут соответствовать клиентам, ищущим сбалансированный подход к конфиденциальности. В этих сценариях существующие приложения можно упаковывать и развертывать в контейнерах с ограниченными изменениями, но по-прежнему предлагают полную изоляцию безопасности от поставщика облачных служб и администраторов.

Screenshot of the confidential computing spectrum, showing easier options to options with most security control.

Подробнее

Чтобы использовать возможности анклава и изолированных сред, вам потребуется использовать средства, поддерживающие конфиденциальные вычисления. Существует несколько средств, пригодных для разработки приложений с поддержкой анклавов. Дополнительные сведения см. в статье о разработке приложений анклава.

Сведения о средствах с открытым кодом для создания решений для приложений анклава Intel SGX для виртуальных машин.

Используйте партнеры и средства с открытым кодом для конфиденциальных контейнеров. Вы также можете использовать некоторые из этих средств для рабочих нагрузок Azure Kubernetes.

Следующие шаги