Recommandations de prélecture

  • Article

Ce document est conçu pour vous guider tout au long du processus de sélection d’une offre de conteneur sur l’informatique confidentielle Azure qui convient le mieux à vos exigences en matière de charge de travail et à votre posture de sécurité. Pour tirer le meilleur parti du guide, nous vous recommandons les prélectures suivantes.

Matrice de décision Azure Compute

Familiarisez-vous avec les offres Azure Compute globales pour comprendre le contexte plus large dans lequel l’informatique confidentielle Azure fonctionne.

Présentation de l’informatique confidentielle Azure

L’informatique confidentielle Azure propose des solutions permettant d’isoler vos données sensibles pendant leur traitement dans le cloud. Vous pouvez en savoir plus sur l’informatique confidentielle Informatique confidentielle Azure.

Attestation

L’attestation est un processus qui fournit des garanties concernant l’intégrité et l’identité des environnements matériels et logiciels dans lesquels les applications s’exécutent. Dans l’informatique confidentielle, l’attestation vous permet de vérifier que vos applications s’exécutent sur du matériel fiable et dans un environnement d’exécution de confiance.

En savoir plus sur l’attestation et le service Microsoft Azure Attestation sur Attestation dans Azure

Définition de l’isolation de la mémoire

Dans l’informatique confidentielle, l’isolation de la mémoire est une fonctionnalité essentielle qui protège les données pendant le traitement. Le Consortium sur l’informatique confidentielle définit l’isolation de la mémoire comme suit :

« L’isolation de la mémoire est la possibilité d’empêcher l’accès non autorisé aux données en mémoire, même si l’attaquant a compromis le système d’exploitation ou d’autres logiciels privilégiés. Pour ce faire, des fonctionnalités matérielles doivent être utilisées afin de créer un environnement sécurisé et isolé pour une charge de travail confidentielle. »

Choix d’une offre de conteneur sur l’informatique confidentielle Azure

L’informatique confidentielle Azure offre différentes solutions pour le déploiement et la gestion de conteneurs, chacune adaptée à différents niveaux d’isolation et de fonctionnalités d’attestation.

Votre configuration actuelle et vos besoins opérationnels déterminent le chemin d’accès le plus pertinent à suivre dans ce document. Si vous utilisez déjà Azure Kubernetes Service (AKS) ou que vous avez des dépendances sur les API Kubernetes, nous vous recommandons de suivre les chemins d’accès AKS. En revanche, si vous effectuez une transition à partir d’une configuration de machine virtuelle et que vous souhaitez explorer des conteneurs serverless, le chemin d’accès ACI (Azure Container Instances) est intéressant.

Azure Kubernetes Service (AKS)

Nœuds Worker de machine virtuelle confidentielle

  • Attestation d’invité : possibilité de vérifier que vous utilisez une machine virtuelle confidentielle fournie par Azure.
  • Isolation de la mémoire : isolation au niveau de la machine virtuelle avec une clé de chiffrement de mémoire unique par machine virtuelle.
  • Modèle de programmation : aucune modification ou modifications minimes pour les applications conteneurisées. La prise en charge est limitée aux conteneurs basés sur Linux (conteneurs utilisant une image de base Linux pour le conteneur).

Vous trouverez plus d’informations sur la prise en main des nœuds worker CVM avec une charge de travail lift-and-shift vers le pool de nœuds CVM..

Conteneurs confidentiels sur AKS

  • Attestation d’invité complète : active l’attestation de l’environnement informatique confidentiel complet, y compris la charge de travail.
  • Isolation de la mémoire : isolation au niveau du nœud avec une clé de chiffrement de mémoire unique par machine virtuelle.
  • Modèle de programmation : aucune modification ou modifications minimes pour les applications conteneurisées (conteneurs utilisant une image de base Linux pour le conteneur).
  • Charges de travail idéales : applications avec traitement des données sensibles, calculs à parties multiples et exigences de conformité réglementaire.

Vous trouverez plus d’informations sur les conteneurs confidentiels avec Azure Kubernetes Service.

Nœuds d’informatique confidentielle avec Intel SGX

  • Attestation de l’enclave d’application : active l’attestation du conteneur en cours d’exécution, dans les scénarios où la machine virtuelle n’est pas approuvée, mais que seule l’application est approuvée, garantissant un niveau de sécurité et de confiance accru dans l’environnement d’exécution de l’application.
  • Isolation : isolation au niveau du processus.
  • Modèle de programmation : nécessite l’utilisation de solutions de système d’exploitation ou de fournisseur de bibliothèques open source pour exécuter des applications conteneurisées existantes. La prise en charge est limitée aux conteneurs basés sur Linux (conteneurs utilisant une image de base Linux pour le conteneur).
  • Charges de travail idéales : applications à haute sécurité telles que les systèmes de gestion de clés.

Vous trouverez plus d’informations sur l’offre et nos solutions partenaires ici.

Sans serveur

Conteneurs confidentiels sur Azure Container Instances (ACI)

  • Attestation d’invité complète : active l’attestation de l’environnement informatique confidentiel complet, y compris la charge de travail.
  • Isolation : isolation au niveau du groupe de conteneurs avec une clé de chiffrement de mémoire unique par groupe de conteneurs.
  • Modèle de programmation : aucune modification ou modifications minimes pour les applications conteneurisées. La prise en charge est limitée aux conteneurs basés sur Linux (conteneurs utilisant une image de base Linux pour le conteneur).
  • Charges de travail idéales : développement rapide et déploiement de charges de travail conteneurisées simples sans orchestration. Prise en charge du bursting à partir d’AKS à l’aide de nœuds virtuels.

Vous trouverez plus d’informations sur Démarrage avec les conteneurs confidentiels sur ACI.

En savoir plus

Machines virtuelles confidentielles Intel SGX sur AzureConteneurs confidentiels sur Azure