حاويات سرية على مثيلات حاوية Azure
تقدم هذه المقالة كيف يمكن للحاويات السرية على مثيلات حاوية Azure تمكينك من تأمين أحمال العمل التي تعمل في السحابة. توفر هذه المقالة خلفية حول مجموعة الميزات والسيناريوهات والقيود والموارد.
تمكن الحاويات السرية على مثيلات حاوية Azure العملاء من تشغيل حاويات Linux داخل بيئة تنفيذ موثوق بها مستندة إلى الأجهزة ومصدق عليها (TEE). يمكن للعملاء رفع وتحويل تطبيقات Linux الحاوية الخاصة بهم أو إنشاء تطبيقات حوسبة سرية جديدة دون الحاجة إلى اعتماد أي نماذج برمجة متخصصة لتحقيق فوائد السرية في TEE. تحمي الحاويات السرية على مثيلات حاوية Azure البيانات قيد الاستخدام وتشفير البيانات المستخدمة في الذاكرة. تعمل مثيلات حاوية Azure على توسيع هذه الإمكانية من خلال نهج التنفيذ التي يمكن التحقق منها، وجذر الأجهزة الذي يمكن التحقق منه لضمانات الثقة من خلال إثبات الضيف.
ميزات الحاويات السرية على مثيلات حاوية Azure
رفع التطبيقات وتحويلها
يمكن للعملاء رفع وتحويل تطبيقات Linux الحاوية الخاصة بهم أو إنشاء تطبيقات حوسبة سرية جديدة دون الحاجة إلى اعتماد نماذج برمجة متخصصة لتحقيق فوائد السرية في TEE.
بيئة التنفيذ الموثوق بها المستندة إلى الأجهزة
يتم نشر حاويات سرية على مثيلات حاوية Azure في مجموعة حاويات مع TEE معزول Hyper-V، والذي يتضمن مفتاح تشفير ذاكرة يتم إنشاؤه وإدارته بواسطة معالج AMD SEV-SNP قادر. يتم تشفير البيانات المستخدمة في الذاكرة باستخدام هذا المفتاح للمساعدة في توفير الحماية من إعادة تشغيل البيانات والتلف وإعادة التعيين والهجمات المستندة إلى الاسم المستعار.
نهج التنفيذ التي يمكن التحقق منها
يمكن تشغيل الحاويات السرية على مثيلات حاوية Azure باستخدام نهج تنفيذ يمكن التحقق منها تمكن العملاء من التحكم في البرامج والإجراءات المسموح بتشغيلها داخل TEE. تساعد نهج التنفيذ هذه على الحماية من الجهات الفاعلة السيئة التي تنشئ تعديلات غير متوقعة للتطبيقات التي قد تسرب بيانات حساسة. يتم تأليف نهج التنفيذ من قبل العميل من خلال الأدوات المقدمة ويتم التحقق منها من خلال إثبات التشفير.
إثبات الضيف عن بعد
توفر الحاويات السرية على ACI الدعم لمصادقة الضيف عن بعد التي تستخدم للتحقق من جدارة مجموعة الحاويات الخاصة بك قبل إنشاء قناة آمنة مع جهة اعتماد. يمكن لمجموعات الحاويات إنشاء تقرير إثبات أجهزة SNP، والذي تم توقيعه من قبل الأجهزة ويتضمن معلومات حول الأجهزة والبرامج. يمكن بعد ذلك التحقق من تقرير إثبات الأجهزة الذي تم إنشاؤه بواسطة خدمة Microsoft Azure Attestation عبر تطبيق sidecar مفتوح المصدر أو بواسطة خدمة تصديق أخرى قبل إصدار أي بيانات حساسة إلى TEE.
نهج إنفاذ الحوسبة السرية
تدعم الحاويات السرية التكامل على مستوى الحاوية والإثبات عبر نهج إنفاذ الحوسبة السرية (CCE). تحدد نهج إنفاذ الحوسبة السرية المكونات المسموح بتشغيلها داخل مجموعة الحاويات وسيتم فرضها بواسطة وقت تشغيل الحاوية.
ملحق Confcom Azure CLI
يتيح ملحق Confcom Azure CLI للعملاء إنشاء نهج إنفاذ الحوسبة السرية باستخدام قالب ARM كمدخل وتوفير نهج سلسلة 64 أساسي كإخراج. يتم تضمين هذا الإخراج في تعريف مجموعة الحاوية لفرض المكونات المسموح بتشغيلها. لمزيد من التفاصيل حول تأليف نهج تنفيذ الحوسبة السرية، راجع ملحق Confcom Azure CLI.
إصدار المفتاح الآمن والملفات الجانبية المشفرة
تتكامل الحاويات السرية على مثيلات حاوية Azure مع اثنين من مصدر مفتوح sidecars لدعم الوظائف السرية داخل مجموعة الحاويات. يمكنك العثور على هذه sidecars والمزيد من المعلومات في مستودع sidecar السري.
بيان جانبي آمن لإصدار المفتاح
توفر الحاويات السرية على مثيلات حاوية Azure حاوية مصدر مفتوح sidecar للإثبات وإصدار المفتاح الآمن. يقوم هذا sidecar بإنشاء مثيل لخادم ويب، والذي يعرض واجهة برمجة تطبيقات REST بحيث يمكن للحاويات الأخرى استرداد تقرير إثبات الأجهزة أو رمز Microsoft Azure Attestation المميز عبر أسلوب POST. يتكامل sidecar مع Azure Key vault من أجل إصدار مفتاح لمجموعة الحاوية بعد اكتمال التحقق من الصحة.
sidecar لنظام الملفات المشفرة
توفر الحاويات السرية على مثيلات حاوية Azure حاوية sidecar لتحميل نظام ملفات مشفر عن بعد تم تحميله مسبقا إلى Azure Blob Storage. تسترد حاوية sidecar بشفافية إثبات الأجهزة وسلسلة الشهادات التي تؤيد مفتاح توقيع التصديق. ثم يطلب من Microsoft Azure Attestation تخويل رمز إثبات، وهو مطلوب للإصدار الآمن لمفتاح تشفير نظام الملفات من HSM المدار. يتم إصدار المفتاح إلى حاوية sidecar فقط إذا تم توقيع الرمز المميز للإثبات من قبل السلطة المتوقعة وتتطابق مطالبات التصديق مع نهج إصدار المفتاح. تستخدم حاوية sidecar بشفافية المفتاح لتحميل نظام الملفات المشفرة عن بعد؛ ستحافظ هذه العملية على سرية وسلامة نظام الملفات عند أي عملية من حاوية تعمل داخل مجموعة الحاوية.
السيناريوهات
غرف تنظيف البيانات لتحليلات البيانات متعددة الأطراف والتدريب على التعلم الآلي
غالبا ما تتطلب المعاملات التجارية والتعاون في المشروع مشاركة البيانات السرية بين أطراف متعددة. قد تتضمن هذه البيانات معلومات شخصية ومعلومات مالية وسجلات طبية يجب حمايتها من الوصول غير المصرح به. توفر الحاويات السرية على مثيلات حاوية Azure الميزات الضرورية (TEEs المستندة إلى الأجهزة، والإثبات عن بعد) للعملاء لمعالجة بيانات التدريب من مصادر متعددة دون تعريض بيانات الإدخال لأطراف أخرى. وهذا يمكن المؤسسات من الحصول على قيمة أكبر من مجموعات بياناتها أو من شركائها مع الحفاظ على التحكم في الوصول إلى معلوماتها الحساسة. وهذا يجعل الحاويات السرية على مثيلات حاوية Azure مثالية لسيناريوهات تحليلات البيانات متعددة الأطراف مثل التعلم الآلي السري.
الاستدلال السري
يوفر ACI عمليات نشر سريعة وسهلة وتخصيص الموارد المرنة وتسعير الدفع لكل استخدام، ما يجعله نظاما أساسيا رائعا لأحمال عمل الاستدلال السرية. باستخدام الحاويات السرية على مثيلات حاوية Azure، يمكن لمطوري النماذج ومالكي البيانات التعاون مع حماية الملكية الفكرية لمطور النموذج والحفاظ على البيانات المستخدمة للاستدلال على الأمان والخاص. تحقق من توزيع عينة للاستدلال السري باستخدام حاويات سرية على مثيلات حاوية Azure.
سيناريوهات غير مدعومة
- يجب إنشاء نهج إنفاذ الحوسبة السرية بواسطة ملحق Confcom Azure CLI ولا يمكن إنشاؤها يدويا.
الموارد
- ملحق Confcom Azure CLI
- حاويات sidecar السرية
- تطبيق Confidential hello world
- عرض توضيحي لاستدلال التعلم الآلي
الخطوات التالية
- للحصول على مثال نشر، راجع نشر مجموعة حاويات سرية باستخدام Azure Resource Manager
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ