Poufne kontenery na platformie Azure

Kontenery poufne zapewniają zestaw funkcji i możliwości w celu dalszego zabezpieczenia standardowych obciążeń kontenerów w celu osiągnięcia wyższych celów bezpieczeństwa danych, prywatności danych i integralności kodu środowiska uruchomieniowego. Kontenery poufne działają w sprzęcie opartym na zaufanym środowisku wykonywania (TEE), które zapewniają funkcje wewnętrzne, takie jak integralność danych, poufność danych i integralność kodu. Platforma Azure oferuje portfolio możliwości za pośrednictwem różnych opcji usługi kontenera poufnego, jak opisano poniżej.

Korzyści

Poufne kontenery na platformie Azure działają w środowiskach TEE opartych na enklawie lub maszynie wirtualnej opartych na środowisku TEE. Oba modele wdrażania pomagają osiągnąć wysoką izolację i szyfrowanie pamięci dzięki zapewnianiom opartym na sprzęcie. Poufne przetwarzanie może pomóc w utrzymaniu stanu zabezpieczeń wdrożenia zerowego zaufania w chmurze platformy Azure, chroniąc miejsce na pamięci za pośrednictwem szyfrowania.

Poniżej przedstawiono cechy poufnych kontenerów:

• Umożliwia uruchamianie istniejących standardowych obrazów kontenerów bez zmian kodu (lift-and-shift) w środowisku TEE
• Możliwość rozszerzania/tworzenia nowych aplikacji, które mają świadomość poufnego przetwarzania
• Umożliwia zdalne wyzwanie środowiska uruchomieniowego na potrzeby weryfikacji kryptograficznych, która określa, co zostało zainicjowane zgodnie z raportem przez bezpieczny procesor
• Zapewnia silne gwarancje poufności danych, integralności kodu i integralności danych w środowisku chmury z ofertami poufnymi przetwarzania opartymi na sprzęcie
• Pomaga odizolować kontenery od innych grup kontenerów/zasobników, a także jądra systemu operacyjnego węzła maszyny wirtualnej

Kontenery poufne izolowane maszyny wirtualnej w usłudze Azure Container Instances (ACI) — publiczna wersja zapoznawcza

Poufne kontenery w usłudze ACI umożliwiają szybkie i łatwe wdrażanie kontenerów natywnie na platformie Azure oraz możliwość ochrony danych i kodu w użyciu dzięki procesorom AMD EPYC™ z poufnymi możliwościami obliczeniowymi. Jest to spowodowane tym, że kontenery działają w opartym na sprzęcie i zaświadczanym zaufanym środowisku wykonywania (TEE) bez konieczności wdrażania wyspecjalizowanego modelu programowania i bez obciążeń związanych z zarządzaniem infrastrukturą. Po uruchomieniu uzyskasz następujące informacje:

1. Pełne zaświadczenie gościa, które odzwierciedla pomiar kryptograficzny wszystkich składników sprzętu i oprogramowania działających w ramach zaufanej bazy obliczeniowej (TCB).
2. Narzędzia do generowania zasad, które będą wymuszane w zaufanym środowisku wykonywania.
3. Kontenery przyczepki typu open source na potrzeby bezpiecznego wydania klucza i zaszyfrowanych systemów plików.

Poufne kontenery w enklawie Intel SGX za pośrednictwem systemu operacyjnego lub oprogramowania partnerskiego

Azure Kubernetes Service (AKS) obsługuje dodawanie poufnych węzłów maszyn wirtualnych przetwarzania Intel SGX jako pul agentów w klastrze. Te węzły umożliwiają uruchamianie poufnych obciążeń w środowisku TEE opartym na sprzęcie. Te te umożliwiają bezpośrednie uruchamianie kodu na poziomie użytkownika z kontenerów w celu przydzielenia prywatnych regionów pamięci w celu bezpośredniego wykonania kodu za pomocą procesora CPU. Te prywatne regiony pamięci wykonywane bezpośrednio za pomocą procesora CPU są nazywane enklawy. Enklawy pomagają chronić poufność danych, integralność danych i integralność kodu przed innymi procesami działającymi w tych samych węzłach, a także operatorem platformy Azure. Model wykonywania Intel SGX usuwa również warstwy pośrednie systemu operacyjnego gościa, systemu operacyjnego hosta i funkcji Hypervisor, co zmniejsza obszar powierzchni podatnej na ataki. Sprzęt oparty na modelu wykonywania izolowanego kontenera w węźle umożliwia aplikacjom bezpośrednie wykonywanie przy użyciu procesora CPU, przy jednoczesnym zachowaniu specjalnego bloku pamięci zaszyfrowanej dla kontenera. Poufne węzły obliczeniowe z poufnymi kontenerami są doskonałym dodatkiem do strategii bez zaufania, planowania zabezpieczeń i szczegółowej strategii kontenera ochrony. Dowiedz się więcej na temat tej możliwości tutaj

Masz pytania?

Jeśli masz pytania dotyczące ofert kontenerów, skontaktuj się z usługą acconaks@microsoft.com.

Następne kroki

• Wdrażanie klastra usługi AKS za pomocą poufnych węzłów maszyn wirtualnych Intel SGX
• Wdrażanie poufnej grupy kontenerów przy użyciu Azure Container Instances
• Usługa Microsoft Azure Attestation
• Poufne Virtual Machines Intel SGX
• Azure Kubernetes Service (AKS)