Kontainer Rahasia (pratinjau) dengan Azure Kubernetes Service (AKS)

Artikel
15/01/2025

Kontainer Rahasia menyediakan serangkaian fitur dan kemampuan untuk lebih mengamankan beban kerja kontainer standar Anda untuk mencapai tujuan keamanan data, privasi data, dan integritas kode runtime yang lebih tinggi. Azure Kubernetes Service (AKS) mencakup Kontainer Rahasia (pratinjau) di AKS.

Kontainer Rahasia dibangun pada Kontainer Rahasia Kata dan enkripsi berbasis perangkat keras untuk mengenkripsi memori kontainer. Ini menetapkan tingkat kerahasiaan data baru dengan mencegah data dalam memori selama komputasi berada dalam teks yang jelas, format yang dapat dibaca. Kepercayaan diperoleh dalam kontainer melalui pengesahan perangkat keras, memungkinkan akses ke data terenkripsi oleh entitas tepercaya.

Bersama dengan Pod Sandboxing, Anda dapat menjalankan beban kerja sensitif yang terisolasi di Azure untuk melindungi data dan beban kerja Anda. Apa yang membuat kontainer rahasia:

Transparansi: Lingkungan kontainer rahasia tempat aplikasi sensitif Anda dibagikan, Anda dapat melihat dan memverifikasi apakah aman. Semua komponen Basis Komputasi Tepercaya (TCB) harus sumber terbuka d.
Auditabilitas: Anda memiliki kemampuan untuk memverifikasi dan melihat versi paket lingkungan CoCo apa termasuk OS Tamu Linux dan semua komponen saat ini. Microsoft menandatangani ke OS tamu dan lingkungan runtime kontainer untuk verifikasi melalui pengesahan. Ini juga merilis algoritma hash aman (SHA) build OS tamu untuk membangun audibilitas string dan cerita kontrol.
Pengesahan penuh: Apa pun yang merupakan bagian dari TEE harus sepenuhnya diukur oleh CPU dengan kemampuan untuk memverifikasi dari jarak jauh. Laporan perangkat keras dari prosesor AMD SEV-SNP harus mencerminkan lapisan kontainer dan hash konfigurasi runtime kontainer melalui klaim pengesahan. Aplikasi dapat mengambil laporan perangkat keras secara lokal termasuk laporan yang mencerminkan gambar OS Tamu dan runtime kontainer.
Integritas kode: Penerapan runtime selalu tersedia melalui kebijakan yang ditentukan pelanggan untuk kontainer dan konfigurasi kontainer, seperti kebijakan yang tidak dapat diubah dan penandatanganan kontainer.
Isolasi dari operator: Desain keamanan yang mengasumsikan hak istimewa paling sedikit dan perisai isolasi tertinggi dari semua pihak yang tidak tepercaya termasuk admin pelanggan/penyewa. Ini termasuk pengerasan akses sarana kontrol Kubernetes yang ada (kubelet) ke pod rahasia.

Dengan langkah-langkah keamanan atau kontrol perlindungan data lainnya, sebagai bagian dari arsitektur Anda secara keseluruhan, kemampuan ini membantu Anda memenuhi persyaratan kepatuhan peraturan, industri, atau tata kelola untuk mengamankan informasi sensitif.

Artikel ini membantu Anda memahami fitur Kontainer Rahasia, dan cara mengimplementasikan dan mengonfigurasi hal berikut:

Menyebarkan atau meningkatkan kluster AKS menggunakan Azure CLI
Tambahkan anotasi ke YAML pod Anda untuk menandai pod sebagai dijalankan sebagai kontainer rahasia
Menambahkan kebijakan keamanan ke YAML pod Anda
Menyebarkan aplikasi Anda dalam komputasi rahasia

Skenario yang didukung

Kontainer Rahasia (pratinjau) sesuai untuk skenario penyebaran yang melibatkan data sensitif. Misalnya, informasi pengidentifikasi pribadi (PII) atau data apa pun dengan keamanan kuat yang diperlukan untuk kepatuhan terhadap peraturan. Beberapa skenario umum dengan kontainer adalah:

Jalankan analitik big data menggunakan Apache Spark untuk pengenalan pola penipuan di sektor keuangan.
Menjalankan pelari GitHub yang dihost sendiri untuk menandatangani kode dengan aman sebagai bagian dari praktik DevOps Integrasi Berkelanjutan dan Penyebaran Berkelanjutan (CI/CD).
Pembelajaran Mesin inferensi dan pelatihan model ML menggunakan himpunan data terenkripsi dari sumber tepercaya. Ini hanya mendekripsi di dalam lingkungan kontainer rahasia untuk menjaga privasi.
Membangun ruang bersih big data untuk pencocokan ID sebagai bagian dari komputasi multi-pihak di industri seperti ritel dengan iklan digital.
Membangun zona pendaratan Zero Trust komputasi rahasia untuk memenuhi peraturan privasi untuk migrasi aplikasi ke cloud.

Pertimbangan

Berikut ini adalah pertimbangan dengan pratinjau Kontainer Rahasia ini:

Peningkatan waktu startup pod dibandingkan dengan pod runc dan pod yang terisolasi kernel.
Gambar kontainer versi 1 tidak didukung.
Kontainer sementara dan metode pemecahan masalah lainnya seperti exec ke dalam kontainer, output log dari kontainer, dan stdio memerlukan modifikasi dan penyebaran ulang kebijakan untuk mengaktifkan ExecProcessRequest, ReadStreamRequest, WriteStreamRequest, dan CloseStdinRequest.
Karena pengukuran lapisan gambar kontainer yang dikodekan dalam kebijakan keamanan, kami tidak menyarankan penggunaan latest tag saat menentukan kontainer.
Layanan, Load Balancer, dan EndpointSlice hanya mendukung protokol TCP.
Generator kebijakan hanya mendukung pod yang menggunakan alamat IPv4.
Variabel lingkungan pod berdasarkan ConfigMaps dan Secrets tidak dapat diubah setelah pod disebarkan.
Log penghentian pod tidak didukung. Saat pod menulis log penghentian ke /dev/termination-log atau ke lokasi kustom jika ditentukan dalam manifes pod, host/kubelet tidak dapat membaca log tersebut. Perubahan dari pod ke file tersebut tidak tercermin pada host.

Gambaran umum alokasi sumber daya

Penting untuk memahami perilaku alokasi sumber daya memori dan prosesor dalam rilis ini.

CPU: Shim menetapkan satu vCPU ke OS dasar di dalam pod. Jika tidak ada sumber daya limits yang ditentukan, beban kerja tidak memiliki berbagi CPU terpisah yang ditetapkan, vCPU kemudian dibagikan dengan beban kerja tersebut. Jika batas CPU ditentukan, berbagi CPU secara eksplisit dialokasikan untuk beban kerja.
Memori: Handler Kata-CC menggunakan memori 2 GB untuk OS UVM dan memori tambahan X MB di mana X adalah sumber daya limits jika ditentukan dalam manifes YAML (menghasilkan VM 2 GB ketika tidak ada batas yang diberikan, tanpa memori implisit untuk kontainer). Handler Kata menggunakan memori dasar 256 MB untuk OS UVM dan memori tambahan X MB ketika sumber daya limits ditentukan dalam manifes YAML. Jika batas tidak ditentukan, batas implisit 1.792 MB ditambahkan menghasilkan VM 2 GB dan memori implisit 1.792 MB untuk kontainer.

Dalam rilis ini, menentukan permintaan sumber daya dalam manifes pod tidak didukung. containerd tidak meneruskan permintaan ke Kata Shim, dan sebagai hasilnya, memesan sumber daya berdasarkan permintaan sumber daya manifes pod tidak diimplementasikan. Gunakan sumber daya limits alih-alih sumber daya requests untuk mengalokasikan memori atau sumber daya CPU untuk beban kerja atau kontainer.

Dengan sistem file kontainer lokal yang didukung oleh memori VM, menulis ke sistem file kontainer (termasuk pengelogan) dapat mengisi memori yang tersedia yang disediakan untuk pod. Kondisi ini dapat mengakibatkan potensi crash pod.

Langkah berikutnya

Lihat gambaran umum kebijakan keamanan Kontainer Rahasia untuk mempelajari tentang bagaimana beban kerja dan datanya dalam pod dilindungi.
Sebarkan Kontainer Rahasia di AKS dengan kebijakan keamanan yang dihasilkan secara otomatis.
Pelajari selengkapnya tentang host Azure Dedicated untuk simpul dengan kluster AKS Anda untuk menggunakan isolasi dan kontrol perangkat keras atas peristiwa pemeliharaan platform Azure.

Berkolaborasi dengan kami di GitHub

Sumber untuk konten ini dapat ditemukan di GitHub, yang juga dapat Anda gunakan untuk membuat dan meninjau masalah dan menarik permintaan. Untuk informasi selengkapnya, lihat panduan kontributor kami.

Umpan balik Azure Kubernetes Service

Azure Kubernetes Service adalah proyek sumber terbuka. Pilih tautan untuk memberikan umpan balik:

Buka masalah dokumentasi Berikan umpan balik produk

Sumber Daya Tambahan:

Dokumentasi

Menyebarkan kluster AKS dengan Kontainer Rahasia (pratinjau) - Azure Kubernetes Service

Pelajari cara membuat kluster Azure Kubernetes Service (AKS) dengan Kontainer Rahasia (pratinjau) dan kebijakan keamanan default dengan menggunakan Azure CLI.
Kebijakan keamanan untuk Kontainer Rahasia di Azure Kubernetes Service

Pahami kebijakan keamanan yang diterapkan untuk memberikan perlindungan mandiri kontainer yang dihosting di Azure Kubernetes Service
Simpul enklave aplikasi komputasi rahasia di Azure Kubernetes Service (AKS)

Simpul VM komputasi rahasia berbasis Intel SGX dengan dukungan enklave aplikasi
Kontainer Rahasia (pratinjau) di Azure Kubernetes Service

Pelajari tentang isolasi tingkat pod menggunakan Kontainer Rahasia (pratinjau) di Azure Kubernetes Service
Dukungan kumpulan simpul VM rahasia pada AKS dengan VM rahasia AMD SEV-SNP

Pelajari tentang dukungan kumpulan simpul rahasia di AKS dengan VM rahasia AMD SEV-SNP
Pod Sandboxing (pratinjau) dengan Azure Kubernetes Service (AKS) - Azure Kubernetes Service

Pelajari dan sebarkan Pod Sandboxing (pratinjau), juga disebut sebagai Isolasi Kernel, pada kluster Azure Kubernetes Service (AKS).
Panduan Memulai: Menyebarkan kluster AKS dengan simpul Intel SGX Kontainer Rahasia Enklave menggunakan Azure CLI

Pelajari cara membuat kluster Azure Kubernetes Service (AKS) dengan simpul rahasia dan menyebarkan aplikasi Halo Dunia dengan menggunakan Azure CLI.
Menggunakan Confidential Virtual Machines (CVM) di Azure Kubernetes Service (AKS) - Azure Kubernetes Service

Pelajari cara membuat kumpulan node Confidential Virtual Machines (CVM) dengan Azure Kubernetes Service (AKS)

Pelatihan

Modul

Azure Confidential Computing - Training

Learn about Azure confidential computing.

Sertifikasi

Bersertifikat Microsoft: Rekan Administrator Perlindungan Informasi dan Kepatuhan - Certifications

Menunjukkan dasar-dasar keamanan data, manajemen siklus hidup, keamanan informasi, dan kepatuhan untuk melindungi penyebaran Microsoft 365.

Acara

Membangun Aplikasi dan Agen AI

17 Mar, 21 - 21 Mar, 10

Bergabunglah dengan seri meetup untuk membangun solusi AI yang dapat diskalakan berdasarkan kasus penggunaan dunia nyata dengan sesama pengembang dan pakar.

Daftar sekarang

Bagikan melalui