Rekomendasi pra-dibaca

  • Artikel

Dokumen ini dirancang untuk membantu Anda memandu melalui proses pemilihan penawaran kontainer di Azure Confidential Computing yang paling sesuai dengan persyaratan beban kerja dan postur keamanan Anda. Untuk memanfaatkan panduan ini secara maksimal, kami merekomendasikan pra-baca berikut.

Matriks Keputusan Komputasi Azure

Biasakan diri Anda dengan penawaran Azure Compute secara keseluruhan untuk memahami konteks yang lebih luas di mana Azure Confidential Computing beroperasi.

Pengantar Azure Confidential Computing

Azure Confidential Computing menawarkan solusi untuk mengaktifkan isolasi data sensitif Anda saat sedang diproses di cloud. Anda dapat membaca selengkapnya tentang komputasi rahasia komputasi rahasia Azure.

Pengesahan

Pengesahan adalah proses yang memberikan jaminan mengenai integritas dan identitas lingkungan perangkat keras dan perangkat lunak tempat aplikasi berjalan. Dalam Komputasi Rahasia, pengesahan memungkinkan Anda memverifikasi bahwa aplikasi Anda berjalan pada perangkat keras tepercaya dan di lingkungan eksekusi tepercaya.

Pelajari selengkapnya tentang pengesahan dan layanan Microsoft Azure Attestation di Pengesahan di Azure

Definisi isolasi memori

Dalam komputasi rahasia, isolasi memori adalah fitur penting yang melindungi data selama pemrosesan. Konsorsium Komputasi Rahasia mendefinisikan isolasi memori sebagai:

"Isolasi memori adalah kemampuan untuk mencegah akses tidak sah ke data dalam memori, bahkan jika penyerang telah mengorbankan sistem operasi atau perangkat lunak istimewa lainnya. Hal ini dicapai dengan menggunakan fitur berbasis perangkat keras untuk menciptakan lingkungan yang aman dan terisolasi untuk beban kerja rahasia."

Memilih penawaran Kontainer di Azure Confidential Computing

Azure Confidential Computing menawarkan berbagai solusi untuk penyebaran dan manajemen kontainer, masing-masing disesuaikan untuk tingkat kemampuan isolasi dan pengesahan yang berbeda.

Penyiapan dan kebutuhan operasional Anda saat ini menentukan jalur yang paling relevan melalui dokumen ini. Jika Anda sudah menggunakan Azure Kubernetes Service (AKS) atau memiliki dependensi pada API Kubernetes, sebaiknya ikuti jalur AKS. Di sisi lain, jika Anda beralih dari penyiapan Komputer Virtual dan tertarik untuk menjelajahi kontainer tanpa server, jalur ACI (Azure Container Instances) harus menarik.

Azure Kubernetes Service (AKS)

Simpul Pekerja VM Rahasia

  • Pengesahan Tamu: Kemampuan untuk memverifikasi bahwa Anda beroperasi pada komputer virtual rahasia yang disediakan oleh Azure.
  • Isolasi Memori: Isolasi tingkat VM dengan kunci enkripsi memori unik per VM.
  • Model pemrograman: Nol hingga perubahan minimal untuk aplikasi kontainer. Dukungan terbatas pada kontainer yang berbasis Linux (kontainer menggunakan gambar dasar Linux untuk kontainer).

Anda dapat menemukan informasi selengkapnya tentang Memulai simpul pekerja CVM dengan beban kerja lift dan shift ke kumpulan simpul CVM..

Kontainer Rahasia di AKS

  • Pengesahan Tamu Penuh: Memungkinkan pengesahan lingkungan komputasi rahasia penuh termasuk beban kerja.
  • Isolasi Memori: Isolasi tingkat simpul dengan kunci enkripsi memori unik per VM.
  • Model pemrograman: Nol hingga perubahan minimal untuk aplikasi kontainer (kontainer menggunakan gambar dasar Linux untuk kontainer).
  • Beban Kerja Ideal: Aplikasi dengan pemrosesan data sensitif, komputasi multi-pihak, dan persyaratan kepatuhan peraturan.

Anda dapat menemukan informasi lebih lanjut di Kontainer Rahasia dengan Azure Kubernetes Service.

Simpul Komputasi Rahasia dengan Intel SGX

  • Pengesahan enklave aplikasi: Memungkinkan pengesahan kontainer yang berjalan, dalam skenario di mana VM tidak tepercaya, tetapi hanya aplikasi yang tepercaya, memastikan tingkat keamanan dan kepercayaan yang tinggi pada lingkungan eksekusi aplikasi.
  • Isolasi: Isolasi tingkat proses.
  • Model pemrograman: Memerlukan penggunaan OS pustaka sumber terbuka atau solusi vendor untuk menjalankan aplikasi kontainer yang ada. Dukungan terbatas pada kontainer yang berbasis Linux (kontainer menggunakan gambar dasar Linux untuk kontainer).
  • Beban Kerja Ideal: Aplikasi keamanan tinggi seperti sistem manajemen kunci.

Anda dapat menemukan informasi selengkapnya tentang penawaran dan solusi mitra kami di sini.

Tanpa server

Kontainer Rahasia di Azure Container Instances (ACI)

  • Pengesahan Tamu Penuh: Memungkinkan pengesahan lingkungan komputasi rahasia penuh termasuk beban kerja.
  • Isolasi: Isolasi tingkat grup kontainer dengan kunci enkripsi memori unik per grup kontainer.
  • Model pemrograman: Nol hingga perubahan minimal untuk aplikasi kontainer. Dukungan terbatas pada kontainer yang berbasis Linux (kontainer menggunakan gambar dasar Linux untuk kontainer).
  • Beban Kerja ideal: Pengembangan dan penyebaran beban kerja kontainer sederhana yang cepat tanpa orkestrasi. Dukungan untuk bursting dari AKS menggunakan Virtual Node.

Anda dapat menemukan detail selengkapnya di Memulai Kontainer Rahasia di ACI.

Pelajari selengkapnya

Intel SGX Confidential Virtual Machines di AzureConfidential Containers di Azure