Bizalmas tárolók az Azure Container Instancesben
Ez a cikk bemutatja, hogy az Azure Container Instances (ACI) bizalmas tárolói hogyan teszik lehetővé a felhőben futó számítási feladatok védelmét. Ez a cikk a funkciókészlet, a forgatókönyvek, a korlátozások és az erőforrások hátterét ismerteti.
Az Azure Container Instances bizalmas tárolói lehetővé teszik az ügyfelek számára, hogy Linux-tárolókat futtasson egy hardveralapú és igazolt megbízható végrehajtási környezetben (TEE). Az ügyfelek emelhetik és áthelyezhetik tárolóalapú Linux-alkalmazásaikat, vagy új bizalmas számítástechnikai alkalmazásokat hozhatnak létre anélkül, hogy speciális programozási modelleket kellene bevezetniük a TEE-ben a bizalmasság előnyeinek eléréséhez. Az Azure Container Instances bizalmas tárolói védik a használatban lévő adatokat, és titkosítják a memóriában használt adatokat. Az Azure Container Instances ezt a képességet ellenőrizhető végrehajtási szabályzatokkal és a megbízhatósági biztosítékok ellenőrizhető hardvergyökerével bővíti a vendégigazoláson keresztül.
A bizalmas tárolók funkciói az Azure Container Instancesben
Alkalmazások emelési és váltási alkalmazásai
Az ügyfelek emelhetik és áthelyezhetik tárolóalapú Linux-alkalmazásaikat, vagy új bizalmas számítástechnikai alkalmazásokat hozhatnak létre anélkül, hogy speciális programozási modelleket kellene bevezetniük a TEE-ben a bizalmasság előnyeinek eléréséhez.
Hardveralapú megbízható végrehajtási környezet
Az Azure Container Instances bizalmas tárolói egy Hyper-V izolált TEE-vel rendelkező tárolócsoportban vannak üzembe helyezve, amely egy AMD SEV-SNP-kompatibilis processzor által létrehozott és felügyelt memóriatitkosítási kulcsot tartalmaz. A memóriában használt adatok ezzel a kulccsal vannak titkosítva, hogy védelmet nyújtsanak az adat-visszajátszás, a sérülés, az újrakészítés és az alias-alapú támadások ellen.
Ellenőrizhető végrehajtási szabályzatok
Az Azure Container Instances bizalmas tárolói ellenőrizhető végrehajtási szabályzatokkal futtathatók, amelyek lehetővé teszik az ügyfelek számára, hogy szabályozhassák, hogy milyen szoftverek és műveletek futtathatók a TEE-ben. Ezek a végrehajtási szabályzatok segítenek megvédeni a rossz szereplőket, és váratlan alkalmazásmódosításokat hoznak létre, amelyek bizalmas adatok kiszivárgását okozhatják. Az ügyfelek végrehajtási szabályzatokat nyújtanak be a megadott eszközökkel, és a titkosítási igazolások ellenőrzik a szabályzatokat.
Távoli vendégigazolás
Az ACI bizalmas tárolói támogatják a távoli vendégigazolást, amely a tárolócsoport megbízhatóságának ellenőrzésére szolgál, mielőtt biztonságos csatornát hoz létre egy függő entitással. A tárolócsoportok létrehozhatnak egy SNP hardverigazolási jelentést, amelyet a hardver aláír, és amely tartalmazza a hardverre és a szoftverre vonatkozó információkat. A Microsoft Azure-igazolási szolgáltatás ezt követően egy nyílt forráskódú sidecar-alkalmazáson vagy egy másik igazolási szolgáltatáson keresztül ellenőrizheti ezt a létrehozott hardverigazolást, mielőtt bizalmas adatokat ad ki a TEE-nek.
Bizalmas számítástechnikai kényszerítési szabályzatok
A bizalmas tárolók a tárolószintű integritást és az igazolást bizalmas számítástechnikai kényszerítési (CCE) szabályzatokkal támogatják. A bizalmas számítástechnikai kényszerítési szabályzatok előírják a tárolócsoporton belül futtatható összetevőket, amelyeket a tároló futtatókörnyezete kényszerít.
Azure CLI-konferenciabővítmény
Az Azure CLI-konferenciabővítmény lehetővé teszi az ügyfelek számára, hogy arm-sablonnal, bemenetként egy 64-es alapszintű sztringszabályzatot használva hozzanak létre bizalmas számítástechnikai kényszerítési szabályzatokat. Ez a kimenet szerepel a tárolócsoport definíciójában annak kikényszerítéséhez, hogy mely összetevők fussanak. A bizalmas számítástechnikai végrehajtási szabályzatok készítéséről további információt az Azure CLI confcom bővítményében talál.
Biztonságos kulcskiadás és titkosított fájlrendszer-oldalkocsik
Az Azure Container Instances bizalmas tárolói két nyílt forráskód oldalkocsival integrálhatók a tárolócsoport bizalmas funkcióinak támogatásához. Ezeket az oldalkocsikat és további információkat a bizalmas oldalkocsi-adattárban találja.
Biztonságos kulcskioldó oldalkocsi
Az Azure Container Instances bizalmas tárolói oldalkocsis nyílt forráskód tárolót biztosítanak az igazoláshoz és a kulcsok biztonságos kiadásához. Ez az oldalkocsi létrehoz egy webkiszolgálót, amely egy REST API-t tesz elérhetővé, hogy más tárolók a POST metóduson keresztül lekérhessenek egy hardverigazolási jelentést vagy egy Microsoft Azure-igazolási jogkivonatot. A sidecar integrálható az Azure Key Vaulttal, hogy az ellenőrzés befejeződése után kiadjon egy kulcsot a tárolócsoportnak.
Titkosított fájlrendszer oldalkocsija
Az Azure Container Instances bizalmas tárolói egy oldalkocsis tárolót biztosítanak a korábban az Azure Blob Storage-ba feltöltött távoli titkosított fájlrendszer csatlakoztatásához. Az oldalkocsi-tároló transzparens módon kéri le a hardverigazolást és az igazolás aláírókulcsát jelölő tanúsítványláncot. Ezután kéri a Microsoft Azure-igazolást, hogy engedélyezze az igazolási jogkivonatot, amely a fájlrendszer titkosítási kulcsának biztonságos felszabadításához szükséges a felügyelt HSM-ből. A kulcs csak akkor jelenik meg a sidecar-tárolóban, ha a várt szolgáltató aláírta az igazolási jogkivonatot, és az igazolási jogcímek megfelelnek a kulcs kiadási szabályzatának. A sidecar tároló transzparens módon használja a kulcsot a távoli titkosított fájlrendszer csatlakoztatásához; ez a folyamat megőrzi a fájlrendszer bizalmasságát és integritását a tárolócsoporton belül futó tároló minden művelete esetén.
Forgatókönyvek
Adattiszta szobák több féltől származó adatelemzéshez és gépi tanulási képzéshez
Az üzleti tranzakciókhoz és a projekt együttműködéséhez gyakran szükséges a bizalmas adatok megosztása több fél között. Ezek az adatok tartalmazhatnak személyes adatokat, pénzügyi információkat és orvosi adatokat, amelyeket védeni kell a jogosulatlan hozzáféréstől. Az Azure Container Instances bizalmas tárolói biztosítják a szükséges funkciókat (hardveralapú tees, távoli igazolás), hogy az ügyfelek több forrásból származó betanítási adatokat dolgozzanak fel anélkül, hogy bemeneti adatokat szolgáltatnak más feleknek. Ezek a funkciók lehetővé teszik a szervezetek számára, hogy nagyobb értéket szerezzenek a partnereik adatkészleteiből, miközben fenntartják a bizalmas információkhoz való hozzáférés vezérlését. Ez az ajánlat az Azure Container Instances bizalmas tárolóit ideálissá teszi több féltől származó adatelemzési forgatókönyvekhez, például a bizalmas gépi tanuláshoz.
Bizalmas következtetés
Az ACI gyors és egyszerű üzembe helyezést, rugalmas erőforrás-kiosztást és használatalapú fizetést biztosít, amely kiváló platformként szolgál a bizalmas következtetési számítási feladatokhoz. Az Azure Container Instances bizalmas tárolóival a modellfejlesztők és az adattulajdonosok együttműködhetnek a modellfejlesztő szellemi tulajdonának védelme és a következtetéshez használt adatok védelme mellett. Tekintse meg a bizalmas következtetés azure-tárolók használatával történő üzembe helyezésének mintáját az Azure Container Instancesben.
Nem támogatott forgatókönyvek
- Az Azure CLI-konferenciabővítménynek létre kell hoznia a bizalmas számítástechnikai kényszerítési szabályzatokat.
- A bizalmas számítástechnikai kényszerítési szabályzatok nem hozhatók létre manuálisan.
Források
- Azure CLI-konferenciabővítmény
- Bizalmas oldalkocsis tárolók
- Bizalmas hello világalkalmazás
- Gépi tanulási következtetés bemutatója
Következő lépések
- Üzembe helyezési példa: Bizalmas tárolócsoport üzembe helyezése az Azure Resource Managerrel