Ez a cikk egy olyan megoldást mutat be, amelyet az Azure bizalmas számítástechnika (ACC) kínál a használatban lévő adatok titkosítására.
Architektúra
Töltse le az architektúra Visio-fájlját.
A diagram az architektúrát vázolja fel. A teljes rendszerben:
- A hálózati kommunikáció átvitel közben titkosítva van.
- Az Azure Monitor nyomon követi az összetevők teljesítményét, és az Azure Container Registry (ACR) kezeli a megoldás tárolóit.
Munkafolyamat
A megoldás a következő lépéseket foglalja magában:
- Egy helyi kórház jegyzője megnyit egy webportált. A teljes webalkalmazás egy statikus Azure Blob Storage-webhely .
- Az írnok adatokat ír be a kórház webes portáljára, amely egy népszerű orvosiplatform-gyártó által létrehozott Python Flask-alapú webes API-hoz csatlakozik. A SCONE bizalmas számítástechnikai szoftverének egy bizalmas csomópontja védi a betegadatokat. A SCONE egy olyan AKS-fürtben működik, amelyen engedélyezve vannak a Software Guard-bővítmények (SGX), amelyek segítenek a tároló enklávéban való futtatásában. A webes API bizonyítékkal szolgál arra vonatkozóan, hogy a bizalmas adatok és alkalmazáskódok titkosítva és elkülönítve lesznek egy megbízható végrehajtási környezetben. Ez azt jelenti, hogy az emberek, a folyamatok és a naplók nem férnek hozzá a cleartext adatokhoz vagy az alkalmazáskódhoz.
- A kórház webalkalmazás-ügyfele azt kéri, hogy egy igazolási szolgáltatás (Azure Attestation) érvényesítse ezt a bizonyítékot, és kap egy aláírt igazolási jogkivonatot , amelyet más alkalmazások ellenőriznek.
- Ha a webes API további összetevőket (például Redis-gyorsítótárat) igényel, az igazolási jogkivonat mentén továbbíthatja annak ellenőrzéséhez, hogy az adatok és alkalmazáskódok eddig biztonságos enklávéban maradtak-e (az ellenőrzéshez lásd a 6. lépést).
- A webes API akár távoli szolgáltatásokat is használhat, például egy harmadik féltől származó diagnosztikai szolgáltató által üzemeltetett ML-modellt. Ha így tesz, a rendszer továbbra is átadja az igazolási jogkivonatokat, hogy a szükséges enklávék biztonságosak legyenek. A webes API megpróbálhatja fogadni és ellenőrizni a diagnosztikai szolgáltató infrastruktúrájának igazolási jogkivonatait is.
- A távoli infrastruktúra elfogadja az igazolási jogkivonatot az orvosi platform webes API-jából, és az Azure Attestation szolgáltatásban található nyilvános tanúsítvánnyal ellenőrzi. Ha a jogkivonat ellenőrzése megtörtént, szinte biztos, hogy az enklávé biztonságos, és sem az adatok, sem az alkalmazáskód nem lett megnyitva az enklávén kívül.
- A diagnosztikai szolgáltató, amely biztos abban, hogy az adatok nem lettek közzétéve, elküldi azokat a saját enklávéjába egy nyílt neurális hálózati exchange (ONNX) futtatókörnyezeti kiszolgálón. Az AI-modell értelmezi az orvosi képeket, és visszaadja a diagnosztikai eredményeket az orvosi platform bizalmas Web API-alkalmazásának. Innen a szoftver ezután kezelheti a betegrekordokat, és/vagy kapcsolatba léphet más kórházi személyzettel.
Összetevők
Az Azure Blob Storage statikus tartalmakat, például HTML-, CSS-, JavaScript- és képfájlokat szolgál ki közvetlenül egy tárolóból.
Az Azure Attestation egy egységes megoldás, amely távolról ellenőrzi a platform megbízhatóságát. Az Azure Attestation távolról is ellenőrzi a platformon futó bináris fájlok integritását. Az Azure Attestation használatával megbízhatóságot hozhat létre a bizalmas alkalmazással.
Az Azure Kubernetes Service leegyszerűsíti a Kubernetes-fürt üzembe helyezésének folyamatát.
A bizalmas számítási csomópontok egy adott virtuálisgép-sorozaton vannak tárolva, amelyek bizalmas számítási feladatokat futtathatnak az AKS-en egy hardveralapú megbízható végrehajtási környezetben (T Enterprise kiadás) azáltal, hogy lehetővé teszik a felhasználói szintű kód számára a privát memóriarégiók, más néven enklávék lefoglalását. A bizalmas számítási csomópontok támogathatják a bizalmas tárolókat vagy az enklávéval kapcsolatos tárolókat.
A SCONE platform egy Azure Partner független szoftverszállító (ISV) megoldás a Scontainből.
A Redis egy nyílt forráskódú, memórián belüli adatstruktúra-tároló.
A Biztonságos tárolókörnyezet (SCONE) támogatja a Kubernetes-fürtön belüli tárolókban futó bizalmas alkalmazások végrehajtását.
Az ONNX Futtatókörnyezeti kiszolgáló enklávéjának (ONNX RT - Enkláve) bizalmas következtetése olyan gazdagép, amely korlátozza az ml-üzemeltető fél számára a következtetési kéréshez és annak megfelelő válaszához való hozzáférést.
Alternatívák
A Fortanix használatával a SCONE helyett bizalmas tárolókat helyezhet üzembe a tárolóalapú alkalmazással való használatra. A Fortanix biztosítja a legtágabb alkalmazások futtatásához és kezeléséhez szükséges rugalmasságot: a meglévő alkalmazásokat, az új enklávéalapú alkalmazásokat és az előre csomagolt alkalmazásokat.
A SCONE helyett az Occlumot használhatja az SGX-kompatibilis AKS-fürtben való futtatáshoz. Az Occlum lehetővé teszi, hogy az örökölt alkalmazások kis módosítás nélkül fussanak egy elszigetelt környezetben.
A grafén egy könnyű, nyílt forráskódú vendég operációs rendszer. A Graphene képes egyetlen Linux-alkalmazást futtatni egy elszigetelt környezetben, a teljes operációs rendszer futtatásához hasonló előnyökkel. Jó eszközkészlet-támogatással rendelkezik a meglévő Docker-tárolóalkalmazások graphene védett tárolókká (GSC) való konvertálásához.
Forgatókönyv részletei
Amikor a szervezetek együttműködnek, információkat osztanak meg. A legtöbb fél azonban nem szeretne hozzáférést biztosítani más feleknek az adatok minden részéhez. Mechanizmusok léteznek az inaktív és az átvitel alatt lévő adatok védelmére. A használatban lévő adatok titkosítása azonban különböző kihívásokat jelent.
A bizalmas számítástechnika és tárolók használatával a megoldás lehetővé teszi a szolgáltató által üzemeltetett alkalmazások számára, hogy biztonságosan működjenek együtt egy kórházzal és egy külső diagnosztikai szolgáltatóval. Az Azure Kubernetes Service (AKS) bizalmas számítási csomópontokat üzemeltet. Az Azure Attestation megbízhatóságot létesít a diagnosztikai szolgáltatóval. Ezeknek az Azure-összetevőknek a használatával az architektúra elkülöníti a kórházi betegek bizalmas adatait, miközben az adott megosztott adatokat a felhőben dolgozzák fel. A kórházi adatok ezután nem érhetők el a diagnosztikai szolgáltató számára. Ezen az architektúrán keresztül a szolgáltató által üzemeltetett alkalmazás a fejlett elemzések előnyeit is kihasználhatja. A diagnosztikai szolgáltató ezeket az elemzéseket a gépi tanulási (ML) alkalmazások bizalmas számítástechnikai szolgáltatásaiként teszi elérhetővé.
Lehetséges használati esetek
Számos iparág védi adataikat bizalmas számítástechnika használatával az alábbi célokra:
- Pénzügyi adatok védelme
- A betegadatok védelme
- Ml-folyamatok futtatása bizalmas információkon
- Algoritmusok végrehajtása több forrásból származó titkosított adathalmazokon
- Tárolóadatok és kódintegritás védelme
Megfontolások
Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek halmaza. További információ: Microsoft Azure Well-Architected Framework.
Az Azure bizalmas számítástechnikai virtuális gépek (VM-ek) 2. generációs D családi méretekben érhetők el általános célú igényekhez. Ezek a méretek együttesen D-series v2 vagy DCsv2 sorozatként ismertek. Ez a forgatókönyv Intel SGX-kompatibilis DCs_v2 sorozatú virtuális gépeket használ Gen2 operációsrendszer-lemezképekkel. Bizonyos méreteket azonban csak bizonyos régiókban helyezhet üzembe. További információ : Rövid útmutató: Azure Confidential Computing virtuális gép üzembe helyezése a Piactéren és a régiónként elérhető termékek.
Költségoptimalizálás
A költségoptimalizálás a szükségtelen kiadások csökkentésének és a működési hatékonyság javításának módjairól szól. További információ: A költségoptimalizálási pillér áttekintése.
A forgatókönyv futtatásának költségeinek megismeréséhez használja az Azure díjkalkulátorát, amely előre konfigurálja az összes Azure-szolgáltatást.
A contoso medical software as a service (SaaS) platformhoz a diagramon látható minta költségprofil érhető el. A következő összetevőkből áll:
- Rendszercsomópontkészlet és SGX-csomópontkészlet: nincsenek lemezek, mind rövid élettartamúak
- AKS Load Balancer
- Azure Virtual Network: névleges
- Azure Container Registry
- Tárfiók egyoldalas alkalmazáshoz (SPA)
A profil nem tartalmazza a következő összetevőket:
Azure Attestation Service: ingyenes
Azure Monitor-naplók: használatalapú
SCONE ISV-licencelés
A bizalmas adatokkal dolgozó megoldásokhoz szükséges megfelelőségi szolgáltatások, beleértve a következőket:
- Felhőhöz készült Microsoft Defender és a Kuberneteshez készült Microsoft Defender
- Azure DDoS Protection: Network Protection
- Azure Firewall
- Azure-alkalmazás Gateway és Azure Web Application Firewall
- Azure Key Vault
A forgatókönyv üzembe helyezése
A forgatókönyv üzembe helyezése a következő magas szintű lépéseket foglalja magában:
Helyezze üzembe a bizalmas következtetési kiszolgálót egy meglévő SGX-kompatibilis AKS-fürtön. Erről a lépésről további információt a GitHubon található bizalmas ONNX következtetési kiszolgálóprojektben talál.
Azure-igazolási szabályzatok konfigurálása.
SGX-kompatibilis AKS-fürtcsomópontkészlet üzembe helyezése.
Hozzáférést kaphat a SconeApps nevű, válogatott bizalmas alkalmazásokhoz. A SconeApps egy privát GitHub-adattárban érhető el, amely jelenleg csak kereskedelmi ügyfelek számára érhető el a SCONE Standard kiadás keresztül. Lépjen a SCONE webhelyére , és lépjen kapcsolatba közvetlenül a vállalattal a szolgáltatási szint eléréséhez.
Telepítse és futtassa a SCONE-szolgáltatásokat az AKS-fürtön.
Telepítse és tesztelje a Flask-alapú alkalmazást az AKS-fürtön.
A webes ügyfél üzembe helyezése és elérése.
Ezek a lépések az enklávétárolókra összpontosítanak. A biztonságos infrastruktúra túlnyúlna ezen a megvalósításon, és megfelelőségi követelményeket is tartalmazna, például a HIPAA által megkövetelt további védelmet.
Közreműködők
Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.
Fő szerző:
- Amar Gowda | Fő termékmenedzser
Következő lépések
Tekintse meg a bizalmas ONNX következtetési kiszolgálói projektet a GitHubon.
Minta agyszegmentálási kép a bizalmas következtetési kiszolgálót meghívó delineation függvényhez.