Kontenery obsługujące enklawy z procesorem Intel SGX
Enklawa to chroniony region pamięci, który zapewnia poufność danych i wykonywania kodu. Jest to wystąpienie zaufanego środowiska wykonawczego (TEE), które jest zabezpieczone przez sprzęt. Obsługa maszyny wirtualnej poufnego przetwarzania w usłudze AKS używa rozszerzeń Intel Software Guard (SGX) do tworzenia izolowanych środowisk enklawy w węzłach między poszczególnymi aplikacjami kontenera.
Podobnie jak maszyny wirtualne Intel SGX, aplikacje kontenerów opracowywane do uruchamiania w enklawie mają dwa składniki:
- Niezaufany składnik (nazywany hostem) i
- Zaufany składnik (nazywany enklawą).
Architektura aplikacji z rozpoznawaniem enklawy zapewnia największą kontrolę nad implementacją przy jednoczesnym zachowaniu niskiego zużycia kodu w enklawie. Minimalizacja kodu uruchamiającego się w enklawie pomaga zmniejszyć obszary powierzchni ataków.
Lokale
Open Enclave SDK
Open Enlave SDK to niezależna od sprzętu biblioteka open source do tworzenia aplikacji C, C++, które korzystają ze sprzętowych zaufanych środowisk wykonywania. Bieżąca implementacja zapewnia obsługę technologii Intel SGX i obsługi w wersji zapoznawczej systemu operacyjnego OP-TEE na platformie Arm TrustZone.
Rozpocznij pracę z aplikacją kontenera opartą na enklawie open tutaj
Intel SGX SDK
Firma Intel obsługuje zestaw deweloperski oprogramowania do tworzenia aplikacji SGX dla obciążeń kontenerów systemu Linux i Windows. Kontenery systemu Windows nie są obecnie obsługiwane przez poufne węzły obliczeniowe usługi AKS.
Wprowadzenie do aplikacji opartych na technologii Intel SGX tutaj
Confidential Consortium Framework (CCF)
Confidential Consortium Framework (CCF) to struktura typu open source do tworzenia nowej kategorii bezpiecznych, wysoce dostępnych i wydajnych aplikacji, które koncentrują się na wielopartyjnych obliczeniach i danych. Technologia CCF umożliwia korzystanie z sieci poufnych na dużą skalę, które spełniają kluczowe wymagania przedsiębiorstwa — zapewniając środki umożliwiające przyspieszenie produkcji i wdrażania w przedsiębiorstwie opartego na konsorcjum łańcucha bloków i wielopartyjnej technologii obliczeniowej.
Wprowadzenie do poufnego przetwarzania na platformie Azure i programu CCF tutaj
Środowisko uruchomieniowe poufnego wnioskowania ONNX
Środowisko uruchomieniowe ONNX oparte na enklawie typu open source ustanawia bezpieczny kanał między klientem a usługą wnioskowania — zapewniając, że ani żądanie, ani odpowiedź nie mogą pozostawić bezpiecznej enklawy.
To rozwiązanie umożliwia korzystanie z istniejącego wytrenowanego modelu uczenia maszynowego i ich poufne uruchamianie przy jednoczesnym zapewnieniu zaufania między klientem a serwerem za pośrednictwem zaświadczania i weryfikacji.
Wprowadzenie do migracji metodą "lift and shift" modelu uczenia maszynowego do środowiska uruchomieniowego ONNX tutaj
Ego
Zestaw SDK EGo typu open source zapewnia obsługę języka programowania Go do enklaw. Usługa EGo bazuje na zestawie SDK Open Enclave. Ma na celu ułatwienie tworzenia poufnych mikrousług. Postępuj zgodnie z tym przewodnikiem krok po kroku, aby wdrożyć usługę opartą na usłudze EGo w usłudze AKS.
Container-Based przykładowe implementacje
Przykłady platformy Azure dla kontenerów obsługujących enklawy w usłudze AKS
Wdrażanie klastra usługi AKS za pomocą poufnych węzłów maszyn wirtualnych Intel SGX
Poufne maszyny wirtualnej Intel SGX wkontenerach poufnych platformy Azure