機密運算中的部署模型
Azure 機密運算支援多個部署模型。 這些模型支援各種新式雲端運算的客戶安全性需求。
基礎結構即服務
在雲端運算中的基礎結構即服務 (IaaS) 部署模型下,您可以使用:
這些選項會根據組織的信任界限或所需的部署輕鬆,提供不同的部署模型。
IaaS 部署模型會視需要授與可調整運算資源的存取權,例如伺服器、記憶體、網路和虛擬化。 藉由採用 IaaS 部署模型,組織可以放棄採購、設定及管理自己的基礎結構的程式。 相反地,他們只會支付其使用的資源。 這項功能可讓 IaaS 成為符合成本效益的解決方案。
在雲端運算領域,IaaS 部署模型可讓企業從 Azure 等雲端服務提供者(CSP)租用個別服務。 Azure 負責管理和維護基礎結構,讓組織能夠專注於安裝、設定及管理其軟體。 Azure 也提供補充服務,例如完整的計費管理、記錄、監視、記憶體復原和安全性。
延展性是雲端運算中 IaaS 部署模型的另一個優點。 企業可以根據自己的需求,快速擴展和縮減資源。 這種靈活性能加快開發生命週期,並加快新產品和創意的上市時間。 IaaS 部署模型也可藉由消除單一失敗點來協助確保可靠性。 即使硬體元件失敗,服務仍可供使用。
總而言之,IaaS 部署模型與 Azure 機密運算相結合,可提供成本節省、提高效率、創新機會、可靠性和高延展性等優點。 它會利用專為保護高度敏感數據而設計的健全且全面的安全性解決方案。
平台即服務
針對平臺即服務 (PaaS),您可以在機密運算中使用 機密容器 。 此供應項目包含 Azure Kubernetes Service (AKS) 中的指定位址空間感知容器。
選擇的部署模型是否適當取決於許多因素。 您可能需要考慮是否有舊版應用程式、作業系統功能,以及從內部部署網路移轉。
雖然仍有許多理由使用 VM,但容器可為新式 IT 的許多軟體環境提供額外的彈性。 容器可以支援下列應用程式:
- 在多個雲端執行。
- 連線至微服務。
- 使用各種程式設計語言和架構。
- 使用自動化和 Azure Pipelines,包括持續整合與持續部署 (CI/CD) 實作。
容器也會藉由套用 Azure 雲端的彈性來增加應用程式的可移植性,並改善資源使用量。
一般而言,如果有下列情況,您可能會在機密 VM 上部署解決方案:
- 您有無法修改或容器化的舊版應用程式。 不過,在處理數據時,您仍然需要引入記憶體中的數據保護。
- 您正在單一基礎結構上執行需要不同作業系統 (OS) 的多個應用程式。
- 您想要模擬整個運算環境,包括所有 OS 資源。
- 您將現有的 VM 從內部部署移轉至 Azure。
在下列情況下,您可能選擇使用機密容器型方法:
- 您擔心成本和資源配置。 不過,您需要更敏捷的平台來部署專屬應用程式和資料集。
- 您在建立現代化雲端原生解決方案。 您也可以完全控制原始程式碼和部署程序。
- 您需要多重雲端支援。
這兩個選項都為 Azure 服務提供最高安全性等級。
安全性界限的比較
機密 VM 和機密容器的安全性狀態有一些差異。
機密 VM
機密 VM 提供整個 VM 的硬體加密保護,以防止主機系統管理員未經授權存取。 此層級通常包含 CSP 所管理的 Hypervisor。 您可以使用這種類型的機密 VM 來防止 CSP 存取 VM 內執行的數據和程式代碼。
VM 系統管理員,或任何其他在 VM 內執行的應用程式或服務,都超出受保護的界限。 這些使用者和服務可以存取 VM 內的資料和程式碼。
應用程式記憶體保護區
應用程式記憶體保護區有助於使用硬體型加密來保護 VM 內的記憶體空間。 應用程式記憶體保護區的安全性界限比機密 VM 的界限更受限。 Intel SGX 會將 VM 內的部分記憶體劃定安全性界限。 在 VM 內執行的來賓系統管理員、應用程式和服務無法存取記憶體保護區內執行中的任何數據和程式代碼。
Intel SGX 藉由隔離使用中的數據來增強應用程式安全性。 它會建立安全記憶體保護區,以防止修改選取的程式代碼和數據,以便只有授權的程式代碼可以存取它們。 即使具有高階許可權,記憶體保護區以外的實體(包括OS和 Hypervisor)也無法透過標準呼叫存取記憶體保護區內存。 存取記憶體保護區函式需要特定的 Intel SGX CPU 指示,其中包括多個安全性檢查。
