Podpora enklávy aplikací s důvěrnými výpočetními uzly založenými na Intel SGX na Azure Kubernetes Service

  • Článek

Důvěrné výpočetní prostředí Azure umožňuje chránit vaše citlivá data, když se používají. Enklávy založené na Intel SGX umožňují spouštění aplikací zabalených jako kontejner v rámci AKS. Kontejnery běží v rámci důvěryhodného spouštěcího prostředí (TEE) přináší izolaci od jiných kontejnerů, jádro uzlu v hardwarově chráněném prostředí chráněném integritou.

Přehled

Azure Kubernetes Service (AKS) podporuje přidávání uzlů důvěrných výpočetních virtuálních počítačů Intel SGX jako fondů agentů v clusteru. Tyto uzly umožňují spouštět citlivé úlohy v rámci hardwarového prostředí TEE. TEE umožňují kódu na úrovni uživatele z kontejnerů přidělit privátní oblasti paměti pro přímé spuštění kódu s využitím procesoru. Tyto oblasti privátní paměti, které se spouští přímo s procesorem, se nazývají enklávy. Enklávy pomáhají chránit důvěrnost dat, integritu dat a integritu kódu před jinými procesy běžícími na stejných uzlech a také před operátorem Azure. Model spouštění Intel SGX také odstraňuje mezilehlé vrstvy hostovaného operačního systému, hostitelského operačního systému a hypervisoru, a tím snižuje prostor pro útok. Model izolovaného spouštění založený na hardwaru v kontejneru v uzlu umožňuje aplikacím spouštět přímo s procesorem a přitom udržovat speciální blok paměti šifrovaný pro každý kontejner. Důvěrné výpočetní uzly s důvěrnými kontejnery jsou skvělým doplňkem vaší strategie nulové důvěryhodnosti, plánování zabezpečení a hloubkové ochrany kontejnerů.

Obrázek důvěrného výpočetního uzlu AKS se zobrazenými důvěrnými kontejnery se zabezpečeným kódem a daty

Funkce důvěrných výpočetních uzlů Intel SGX

  • Hardwarově založená izolace kontejneru na úrovni procesů prostřednictvím důvěryhodného spouštěcího prostředí Intel SGX (TEE)
  • Heterogenní clustery fondů uzlů (kombinace důvěrných a nedůvěrných fondů uzlů)
  • Plánování podů založených na paměti mezipaměti EPC (Encrypted Page Cache) prostřednictvím doplňku "confcom" AKS
  • Předinstalovaný ovladač Intel SGX DCAP a nainstalovaná závislost jádra
  • Horizontální automatické škálování podů na základě spotřeby procesoru a automatické škálování clusteru
  • Podpora kontejnerů s Linuxem prostřednictvím pracovních uzlů virtuálních počítačů s Ubuntu 18.04 Gen2

Doplněk Confidential Computing pro AKS

Funkce doplňku umožňuje v AKS další funkce při spouštění důvěrných výpočetních fondů uzlů podporujících Intel SGX v clusteru. Doplněk "confcom" v AKS umožňuje následující funkce.

Modul plug-in zařízení Azure pro Intel SGX

Modul plug-in zařízení implementuje rozhraní modulu plug-in zařízení Kubernetes pro paměť EPC (Encrypted Page Cache) a zpřístupňuje ovladače zařízení z uzlů. Díky tomuto modulu plug-in se paměť EPC stane dalším typem prostředku v Kubernetes. Uživatelé můžou určit limity pro tento prostředek stejně jako pro ostatní prostředky. Kromě funkce plánování pomáhá modul plug-in zařízení přiřazovat oprávnění ovladače zařízení Intel SGX k důvěrným nasazením kontejnerů. Pomocí tohoto modulu plug-in se vývojář může vyhnout připojení svazků ovladačů Intel SGX v souborech nasazení. Tento doplněk v clusterech AKS běží jako sada démonů na uzel virtuálního počítače, který podporuje Intel SGX. Ukázková implementace nasazení založeného na paměti EPC (kubernetes.azure.com/sgx_epc_mem_in_MiB) je tady.

Intel SGX Quote Helper with Platform Software Components

Jako součást modulu plug-in se na uzel virtuálního počítače nasadí další sada démon, která podporuje Intel SGX v clusteru AKS. Tato sada démonů pomáhá důvěrným aplikacím kontejneru při vyvolání vzdáleného požadavku na ověření identity mimo prostředí.

Aplikace enklávy, které dělají vzdálené ověření identity, musí vygenerovat nabídku. Citace poskytuje kryptografický důkaz identity a stavu aplikace spolu s hostitelským prostředím enklávy. Generování nabídek závisí na určitých důvěryhodných softwarových komponentách od společnosti Intel, které jsou součástí SGX Platform Software Components (PSW/DCAP). Tato služba PSW je zabalená jako sada démonů, která běží na každém uzlu. PsW můžete použít při žádosti o nabídku ověření identity z enklávy aplikací. Použití poskytované služby AKS pomáhá lépe udržovat kompatibilitu mezi PSW a dalšími komponentami SW v hostiteli s ovladači Intel SGX, které jsou součástí uzlů virtuálních počítačů AKS. Přečtěte si další informace o tom, jak vaše aplikace můžou tuto sadu démon používat, aniž by bylo nutné zabalit primitiva ověření identity jako součást kontejnerových nasazení . Další informace najdete tady.

Programovací modely

Důvěrné kontejnery prostřednictvím partnerů a OSS

Důvěrné kontejnery pomáhají spouštět existující neupravené kontejnerové aplikace nejběžnějších modulů runtime programovacích jazyků (Python, Node, Java atd.) důvěrně. Tento model balení nevyžaduje žádné úpravy ani rekompilaci zdrojového kódu a je nejrychlejší metodou spuštění v enklávách Intel SGX, které je dosaženo balením standardních kontejnerů Dockeru pomocí Open-Source Projects nebo Azure Partner Solutions. V tomto modelu balení a spouštění jsou všechny části aplikace kontejneru načteny v důvěryhodné hranici (enkláva). Tento model funguje dobře pro běžné kontejnerové aplikace dostupné na trhu nebo vlastní aplikace, které jsou aktuálně spuštěné na uzlech pro obecné účely. Další informace o procesu přípravy a nasazení najdete tady.

Kontejnery podporující enklávu

Důvěrné výpočetní uzly v AKS také podporují kontejnery, které jsou naprogramované tak, aby běžely v enklávě a využívaly speciální sadu instrukcí dostupnou z procesoru. Tento programovací model umožňuje přísnější kontrolu nad tokem provádění a vyžaduje použití speciálních sad SDK a architektur. Tento programovací model poskytuje největší kontrolu nad tokem aplikace s nejnižší důvěryhodnou výpočetní základnou (TCB). Vývoj kontejnerů podporujících enklávy zahrnuje nedůvěryhodné a důvěryhodné části kontejnerové aplikace, což vám umožní spravovat běžnou paměť a paměť EPC (Encrypted Page Cache), kde se enkláva spouští. Přečtěte si další informace o kontejnerech s podporou enklávy.

Nejčastější dotazy

Odpovědi na některé běžné dotazy týkající se podpory fondů uzlů Azure Kubernetes Service (AKS) pro důvěrné výpočetní uzly založené na Intel SGX najdete tady.

Další kroky

Nasazení clusteru AKS s důvěrnými výpočetními uzly

Ukázky kontejnerů důvěrných informací pro rychlý start

Důvěrné virtuální počítače Intel SGX – seznam skladových položek DCsv2

Důvěrné virtuální počítače Intel SGX – Seznam skladových položek DCsv3

Relace webináře o hloubkové ochraně s využitím důvěrných kontejnerů