Poufne kontenery na platformie Azure

Kontenery poufne udostępniają zestaw funkcji i możliwości w celu dalszego zabezpieczania standardowych obciążeń kontenerów w celu osiągnięcia wyższych celów dotyczących bezpieczeństwa danych, prywatności danych i integralności kodu środowiska uruchomieniowego. Poufne kontenery działają w sprzęcie wspieranym przez zaufane środowisko wykonawcze (TEE), które zapewnia wewnętrzne możliwości, takie jak integralność danych, poufność danych i integralność kodu. Platforma Azure oferuje portfolio możliwości za pośrednictwem różnych opcji usługi kontenera poufnego, jak opisano poniżej.

Świadczenia

Poufne kontenery na platformie Azure działają w środowiskach TEE opartych na enklawie lub na maszynie wirtualnej. Oba modele wdrażania pomagają osiągnąć wysoką izolację i szyfrowanie pamięci za pomocą kontroli sprzętowej. Poufne przetwarzanie może pomóc w wzmocnieniu pozycji zabezpieczeń podczas wdrażania w modelu zerowego zaufania w chmurze platformy Azure, chroniąc przestrzeń pamięci za pomocą szyfrowania.

Poniżej przedstawiono cechy poufnych kontenerów:

• Umożliwia uruchamianie istniejących standardowych obrazów kontenerów bez zmian kodu (lift-and-shift) w środowisku TEE
• Możliwość rozszerzania/tworzenia nowych aplikacji, które mają świadomość poufnego przetwarzania
• Umożliwia zdalne sprawdzenie środowiska uruchomieniowego w celu uzyskania dowodu kryptograficznego, który potwierdza, co zostało uruchomione zgodnie z raportem bezpiecznego procesora.
• Zapewnia silną ochronę poufności danych, integralności kodu i integralności danych w środowisku chmury dzięki sprzętowym rozwiązaniom umożliwiającym poufne obliczenia.
• Pomaga odizolować kontenery od innych grup kontenerów/podów, a także od jądra systemu operacyjnego na węźle maszyny wirtualnej.

Izolowane poufne kontenery maszyn wirtualnych w usłudze Azure Container Instances (ACI)

Poufne kontenery w usłudze ACI umożliwiają szybkie i łatwe wdrażanie kontenerów natywnie na platformie Azure oraz możliwość ochrony danych i kodu w użyciu dzięki procesorom AMD EPYC™ z funkcjami przetwarzania poufnego. Dzieje się tak dlatego, że kontenery działają w opartym na sprzęcie i zaświadczanym zaufanym środowisku wykonywania (TEE) bez konieczności wdrażania wyspecjalizowanego modelu programowania i bez nakładu pracy związanego z zarządzaniem infrastrukturą. Po uruchomieniu uzyskasz następujące informacje:

1. Kompletne poświadczenie gościa, które odzwierciedla kryptograficzny pomiar wszystkich komponentów sprzętowych i programowych, które działają w Twojej zaufanej bazie obliczeniowej (TCB).
2. Narzędzia do generowania zasad, które będą egzekwowane w bezpiecznym środowisku wykonawczym.
3. Kontenery sidecar typu open source do bezpiecznego wydawania kluczy i zaszyfrowanych systemów plików.

Poufne kontenery w enklawie Intel SGX za pomocą oprogramowania open source lub oprogramowania partnerskiego

Usługa Azure Kubernetes Service (AKS) obsługuje dodawanie poufnych węzłów maszyn wirtualnych obliczeniowych Intel SGX jako pul agentów w klastrze. Te węzły umożliwiają uruchamianie poufnych obciążeń w środowisku TEE opartym na sprzęcie. Zaufane środowiska wykonawcze (TEEs) umożliwiają kodowi na poziomie użytkownika z kontenerów przydzielanie prywatnych regionów pamięci w celu wykonywania kodu bezpośrednio z użyciem procesora CPU. Te prywatne regiony pamięci, które wykonują się bezpośrednio przy użyciu procesora, są nazywane enklawami. Enklawy pomagają chronić poufność danych, integralność danych i integralność kodu przed innymi procesami uruchomionymi w tych samych węzłach, a także operatorem platformy Azure. Model wykonywania Intel SGX usuwa również warstwy pośrednie systemu operacyjnego gościa (Guest OS), systemu operacyjnego hosta (Host OS) i hypervisora, co zmniejsza powierzchnię podatną na ataki. Model izolowanego wykonywania na poziomie sprzętu dla każdego kontenera w węźle umożliwia aplikacjom bezpośrednie wykonywanie z użyciem CPU, przy jednoczesnym zachowaniu zaszyfrowanego bloku pamięci dla każdego kontenera. Poufne węzły obliczeniowe z poufnymi kontenerami są doskonałym dodatkiem do strategii kontenerów opartej na zerowym zaufaniu, planowaniu bezpieczeństwa i obronie w głąb. Dowiedz się więcej na temat tej możliwości tutaj

Pytania?

Jeśli masz pytania dotyczące ofert kontenerów, skontaktuj się z acconaks@microsoft.com.

Następne kroki

• Wdrażanie klastra usługi AKS za pomocą poufnych węzłów maszyn wirtualnych Intel SGX
• Wdrażanie poufnej grupy kontenerów za pomocą usługi Azure Container Instances
• Zaświadczenie platformy Microsoft Azure
• Poufne maszyny wirtualne Intel SGX
• Azure Kubernetes Service (AKS)