事前に読むべきレコメンデーション
このドキュメントは、Azure Confidential Computing でワークロードの要件とセキュリティ体制に最適なコンテナー オファリングを選択するプロセスをガイドすることを目的としています。 ガイドを最大限に活用するために、次の内容を事前に読んでおくことをお勧めします。
Azure コンピューティング デシジョン マトリックス
Azure Confidential Computing が動作する広範なコンテキストを理解するために Azure コンピューティング オファリングの全体的な知識を身に付けます。
Azure Confidential Computing の概要
Azure Confidential Computing によって実現するソリューションを使用すると、クラウドでの処理中に機密データを分離することができます。 コンフィデンシャル コンピューティングの詳細については、Azure でのコンフィデンシャル コンピューティングに関する記事を参照してください。
構成証明
構成証明は、アプリケーションが実行されるハードウェア環境とソフトウェア環境の整合性と ID に関する保証を提供するプロセスです。 Confidential Computing では、構成証明を使用して、アプリケーションが信頼できるハードウェアと信頼できる実行環境で実行されていることを確認できます。
構成証明と Microsoft Azure Attestation サービスの詳細については、Azure の構成証明に関する記事を参照してください
メモリ分離の定義
コンフィデンシャル コンピューティングでは、メモリ分離は、処理中にデータを保護する重要な機能です。 Confidential Computing Consortium は、メモリ分離を次のように定義しています。
"メモリ分離とは、攻撃者がオペレーティング システムやその他の特権ソフトウェアを侵害した場合でも、メモリ内のデータへの不正アクセスを防ぐ機能です。 これは、ハードウェアベースの機能を使用して、機密ワークロード用の安全で分離された環境を作成することによって実現されます。"
Azure Confidential Computing でのコンテナー オファリングの選択
Azure Confidential Computing には、コンテナーのデプロイと管理のためのさまざまなソリューションが用意されており、それぞれがさまざまなレベルの分離と構成証明の機能に合わせて調整されています。
現在のセットアップと運用のニーズによって、このドキュメントの最も関連性の高いパスが決まります。 Azure Kubernetes Service (AKS) を既に利用している場合、または Kubernetes API に依存している場合は、AKS パスに従うことをお勧めします。 一方、仮想マシンのセットアップから移行していて、サーバーレス コンテナーに関心がある場合は、ACI (Azure Container Instances) パスを確認してください。
Azure Kubernetes Service (AKS)
機密 VM ワーカー ノード
- ゲスト構成証明: Azure によって提供される機密仮想マシンで操作していることを確認する機能。
- メモリ分離: VM ごとに一意のメモリ暗号化キーを使用した VM レベルの分離。
- プログラミング モデル: コンテナー化されたアプリケーションの変更をゼロから最小限に抑えます。 サポートは、Linux ベースのコンテナー (コンテナーに Linux 基本イメージを使用するコンテナー) に限定されます。
リフト アンド シフト ワークロードを使用した CVM ワーカー ノードの概要については、CVM ノード プールに移行する方法に関する詳細を参照してください。
AKS 上の機密コンテナー
- 完全ゲスト構成証明: ワークロードを含む完全なコンフィデンシャル コンピューティング環境の構成証明を有効にします。
- メモリ分離: VM ごとに一意のメモリ暗号化キーを使用したノード レベルの分離。
- プログラミング モデル: コンテナー化されたアプリケーション (コンテナーに Linux 基本イメージを使用するコンテナー) の変更をゼロから最小限に抑えます。
- 理想的なワークロード: 機密データ処理、マルチパーティ計算、規制コンプライアンスの要件を持つアプリケーション。
詳細については、Azure Kubernetes Service を使用した Confidential Containers に関するページを参照してください。
Intel SGX を使用したコンフィデンシャル コンピューティング ノード
- アプリケーション エンクレーブ構成証明: VM が信頼されていないが、アプリケーションのみが信頼されるシナリオで、実行中のコンテナーの構成証明を有効にし、アプリケーションの実行環境で高いレベルのセキュリティと信頼を確保します。
- 分離: プロセス レベルの分離。
- プログラミング モデル: 既存のコンテナー化されたアプリケーションを実行するには、オープンソース ライブラリ OS またはベンダー ソリューションを使用する必要があります。 サポートは、Linux ベースのコンテナー (コンテナーに Linux 基本イメージを使用するコンテナー) に限定されます。
- 理想的なワークロード: キー管理システムなどのセキュリティの高いアプリケーション。
オファリングとパートナー ソリューションの詳細については、こちらを参照してください。
サーバーレス
Azure Container Instances (ACI) 上の機密コンテナー
- 完全ゲスト構成証明: ワークロードを含む完全なコンフィデンシャル コンピューティング環境の構成証明を有効にします。
- 分離: コンテナー グループごとに一意のメモリ暗号化キーを使用したコンテナー グループ レベルの分離。
- プログラミング モデル: コンテナー化されたアプリケーションの変更をゼロから最小限に抑えます。 サポートは、Linux ベースのコンテナー (コンテナーに Linux 基本イメージを使用するコンテナー) に限定されます。
- 理想的なワークロード: オーケストレーションなしでの単純なコンテナー化されたワークロードの迅速な開発とデプロイ。 仮想ノードを使用した AKS からのバーストのサポート。
詳細については、ACI 上の Confidential Containers の概要に関する記事を参照してください。