Ontwikkeling van toepassings-enclaves
Met Azure Confidential Computing kunt u toepassings-enclaves maken voor virtuele machines (VM's) waarop Intel Software Guard Extensions (SGX) wordt uitgevoerd. Het is belangrijk om de gerelateerde hulpprogramma's en software te begrijpen voordat u begint met ontwikkelen.
Notitie
Als u de inleiding tot Intel SGX-VM's en enclaves nog niet hebt gelezen, doet u dit voordat u doorgaat.
Toepassings-enclaves
Toepassings-enclaves zijn geïsoleerde omgevingen die specifieke code en gegevens beveiligen. Wanneer u enclaves maakt, moet u bepalen welk deel van de toepassing in de enclave wordt uitgevoerd. Wanneer u enclaves maakt of beheert, moet u compatibele SDK's en frameworks gebruiken voor de gekozen implementatiestack.
U kunt toepassings-enclaves ontwikkelen en implementeren met behulp van vertrouwelijke VM's waarvoor Intel SGX is ingeschakeld.
Toepassingen ontwikkelen
Er zijn twee partities in een toepassing die is gebouwd met enclaves.
De host is het onderdeel 'niet vertrouwd'. Uw enclavetoepassing wordt boven op de host uitgevoerd. De host is een niet-vertrouwde omgeving. Wanneer u enclavecode op de host implementeert, heeft de host geen toegang tot die code.
De enclave is het 'vertrouwde' onderdeel. De toepassingscode en de in de cache opgeslagen gegevens en het geheugen worden uitgevoerd in de enclave. De enclaveomgeving beschermt uw geheimen en gevoelige gegevens. Zorg ervoor dat uw beveiligde berekeningen plaatsvinden in een enclave.
Als u de kracht van enclaves en geïsoleerde omgevingen wilt gebruiken, kiest u hulpprogramma's die vertrouwelijke computing ondersteunen. Verschillende hulpprogramma's bieden ondersteuning voor enclavetoepassingsontwikkeling. U kunt bijvoorbeeld deze open-source frameworks gebruiken:
- De Open Enclave Software Development Kit (OE SDK)
- De Intel SGX SDK
- De EGo Software Development Kit
- The Confidential Consortium Framework (CCF)
Wanneer u een toepassing ontwerpt, moet u bepalen welk deel van de behoeften moet worden uitgevoerd in enclaves. Code in het vertrouwde onderdeel is geïsoleerd van de rest van uw toepassing. Nadat de enclave is geïnitialiseerd en de code in het geheugen wordt geladen, kunnen niet-vertrouwde onderdelen die code niet lezen of wijzigen.