기밀 컴퓨팅 솔루션 빌드
Azure 기밀 컴퓨팅은 기밀 솔루션을 빌드하기 위한 다양한 옵션을 제공합니다. 옵션의 스펙트럼은 기존 애플리케이션의 "리프트 앤 시프트" 시나리오를 사용하도록 설정하는 것부터 다양한 보안 기능을 완전히 제어하는 것까지 다양합니다. 이러한 기능에는 액세스 수준에 대한 제어가 포함됩니다. 호스트 공급자 또는 게스트 운영자 액세스 수준을 데이터 및 코드로 설정합니다. 클라우드에서 실행되는 워크로드의 무결성을 손상할 수 있는 다른 루트킷 또는 맬웨어 액세스를 제어할 수도 있습니다.
해결 방법
보안 Enclave 또는 기밀 가상 머신과 같은 기술을 통해 고객은 기밀 솔루션 빌드에 적용하려는 접근 방식을 선택할 수 있습니다.
- 소스 코드에 액세스할 수 없는 기존 애플리케이션은 AMD SEV-SNP 기술을 기반으로 하는 기밀 VM의 이점을 활용하여 Azure 기밀 컴퓨팅 플랫폼에 쉽게 온보딩할 수 있습니다.
- 독점 코드를 포함하여 트러스트 벡터로부터 보호하는 정교한 워크로드는 보안 애플리케이션 Enclave 기술의 이점을 누릴 수 있습니다. Azure는 현재 Intel SGX를 기반으로 VM에서 애플리케이션 Enclave를 제공합니다. Intel SGX는 하드웨어 암호화 메모리 공간에서 실행되는 데이터 및 코드를 보호합니다. 이러한 애플리케이션은 일반적으로 오픈 소스 프레임워크를 사용하여 얻은 증명된 보안 Enclave와의 통신이 필요합니다.
- Azure Kubernetes Service에서 사용하도록 설정된 기밀 컨테이너에서 실행되는 컨테이너화된 솔루션은 기밀 유지에 대한 균형 잡힌 접근 방식을 찾는 고객에게 적합할 수 있습니다. 이러한 시나리오에서는 기존 앱을 제한된 변경 내용으로 컨테이너에 패키징 및 배포할 수 있지만 클라우드 서비스 공급자 및 관리자로부터 완전한 보안 격리를 제공할 수 있습니다.
자세한 정보
enclave 및 격리된 환경의 성능을 사용하려면 기밀 컴퓨팅을 지원하는 도구를 사용해야 합니다. enclave 애플리케이션 개발을 지원하는 다양한 도구가 있습니다. 자세한 내용은 Enclave 애플리케이션 개발에 대해 읽어보세요.
가상 머신용 Intel SGX Enclave 애플리케이션용 솔루션을 빌드하기 위한 오픈 소스 도구에 대해 알아봅니다.
기밀 컨테이너에 파트너 및 오픈 소스 도구를 사용합니다. Azure Kubernetes 워크로드에 이러한 도구 중 일부를 사용할 수도 있습니다.