Bizalmas tárolók az Azure-ban

A bizalmas tárolók számos funkciót és képességet biztosítanak a standard tárolók számítási feladatainak további védelméhez, hogy magasabb szintű adatbiztonságot, adatvédelmet és futtatókörnyezeti kódintegritási célokat érjenek el. A bizalmas tárolók olyan hardveralapú megbízható végrehajtási környezetben (TEE) futnak, amely olyan belső képességeket biztosít, mint az adatintegritás, az adatok bizalmassága és a kódintegritás. Az Azure különböző bizalmas tárolószolgáltatás-lehetőségeken keresztül kínál képességeket az alábbiakban ismertetett módon.

Előnyök

Az Azure-ban a bizalmas tárolók enklávéalapú TEE- vagy virtuálisgép-alapú TEE-környezetekben futnak. Mindkét üzembehelyezési modell hardveralapú biztosítékokkal segíti a magas elkülönítést és a memóriatitkosítást. A bizalmas számítástechnika segíthet a zéró megbízhatóságú üzembe helyezés biztonsági helyzetében az Azure-felhőben azáltal, hogy titkosítással védi a memóriaterületet.

A bizalmas tárolók tulajdonságai az alábbiak:

• Lehetővé teszi a meglévő szabványos tárolórendszerképek futtatását kódmódosítások nélkül (emeléssel és váltással) a TEE-ben
• A bizalmas számítástechnikai tudatossággal rendelkező új alkalmazások kiterjesztése/fejlesztése
• Lehetővé teszi a futtatókörnyezet távoli ellenőrzését titkosítási bizonyítékkal, amely megerősíti, hogy mi lett kezdeményezve a biztonságos processzor által jelentett módon.
• Erős biztosítékot nyújt az adatok bizalmasságára, kódintegritására és adatintegritására egy felhőalapú környezetben hardveralapú bizalmas számítástechnikai ajánlatokkal
• Segít elkülöníteni a tárolókat más tárolócsoportoktól/podoktól, valamint a virtuálisgép-csomópont operációs rendszer kernelétől

VM izolált bizalmas tárolók az Azure Container Instances (ACI) rendszeren

Az ACI-n található bizalmas tárolók lehetővé teszik a tárolók gyors és egyszerű üzembe helyezését natív módon az Azure-ban, valamint a bizalmas számítási képességekkel rendelkező AMD EPYC-processzorok™ révén a használatban lévő adatok és kódok védelmét. Ennek az az oka, hogy a tároló(k) hardveralapú és igazolt megbízható végrehajtási környezetben (TEE) futnak anélkül, hogy speciális programozási modellt kellene alkalmazniuk, és nincs szükség infrastruktúra-kezelésre. Ezzel az indítással a következőt érheti el:

1. Teljes vendégigazolás, amely a megbízható számítási bázison (TCB) futó összes hardver- és szoftverösszetevő titkosítási mérését tükrözi.
2. Eszközök a megbízható végrehajtási környezetben kikényszerített szabályzatok létrehozásához.
3. Nyílt forráskódú oldalkocsis tárolók a kulcsok biztonságos kiadásához és a titkosított fájlrendszerekhez.

Bizalmas tárolók egy Intel SGX-enklávéban OSS-en vagy partnerszoftveren keresztül

Az Azure Kubernetes Service (AKS) támogatja az Intel SGX bizalmas számítási virtuálisgép-csomópontok hozzáadását egy fürt ügynökkészleteként. Ezek a csomópontok lehetővé teszik, hogy bizalmas számítási feladatokat futtasson egy hardveralapú TEE-n belül. A megbízható végrehajtási környezetek lehetővé teszik, hogy a tárolók felhasználói szintű kódja privát memóriaterületeket foglaljon le a kód közvetlen CPU-val történő végrehajtásához. Ezeket a közvetlenül CPU-val végrehajtott magánmemória-régiókat enklávénak nevezzük. Az enklávék segítenek megvédeni az adatok bizalmasságát, az adatintegritást és a kódintegritást az ugyanazon a csomóponton futó egyéb folyamatoktól, valamint az Azure-operátortól. Az Intel SGX végrehajtási modell eltávolítja a vendég operációs rendszer, a gazda operációs rendszer és a hipervizor köztes rétegeit, így csökkentve a támadási felületet. A hardveralapú, tárolónkénti elkülönített végrehajtási modell egy csomóponton lehetővé teszi, hogy az alkalmazások közvetlenül a CPU-val hajthassák végre feladataikat, miközben tárolónként titkosítva tartják a speciális memóriablokkot. A bizalmas tárolókkal rendelkező bizalmas számítási csomópontok nagyszerűen összhangban vannak a zéró megbízhatósággal, a biztonsági tervezéssel és a részletes védelmi tárolóstratégiával. Erről a funkcióról itt olvashat bővebben

Kérdése van?

Ha kérdései vannak a tárolóajánlatokkal kapcsolatban, forduljon a következőhöz acconaks@microsoft.com: .

Következő lépések

• AKS-fürt üzembe helyezése Intel SGX bizalmas virtuálisgép-csomópontokkal
• Bizalmas tárolócsoport üzembe helyezése az Azure Container Instances használatával
• Microsoft Azure-igazolás
• Intel SGX titkosított virtuális gépek
• Azure Kubernetes Service (AKS)