Udostępnij za pośrednictwem

Kontenery z rozpoznawaniem enklawy z procesorem Intel SGX

  • Artykuł

Enklawa to chroniony region pamięci, który zapewnia poufność danych i wykonywania kodu. Jest to wystąpienie zaufanego środowiska wykonawczego (TEE), które jest zabezpieczone przez sprzęt. Obsługa maszyny wirtualnej poufnego przetwarzania w usłudze AKS używa rozszerzeń Intel Software Guard (SGX) do tworzenia izolowanych środowisk enklawy w węzłach między poszczególnymi aplikacjami kontenerów.

Podobnie jak maszyny wirtualne Intel SGX, aplikacje kontenerów opracowywane do uruchamiania w enklawie mają dwa składniki:

  • Niezaufany składnik (nazywany hostem) i
  • Zaufany składnik (nazywany enklawą).

Architektura kontenera z rozpoznawaniem enklawy

Architektura aplikacji z rozpoznawaniem enklawy zapewnia największą kontrolę nad implementacją przy jednoczesnym zachowaniu niskiego zużycia kodu w enklawie. Minimalizacja kodu uruchamiającego się w enklawie pomaga zmniejszyć obszary powierzchni ataków.

Lokale

Open Enclave SDK

Otwarty zestaw SDK enklawy to niezależna od sprzętu biblioteka typu open source do tworzenia aplikacji C, C++ korzystających ze sprzętowych zaufanych środowisk wykonywania. Bieżąca implementacja zapewnia obsługę technologii Intel SGX i obsługi w wersji zapoznawczej systemu operacyjnego OP-TEE w aplikacji Arm TrustZone.

Rozpocznij pracę z aplikacją kontenera opartą na enklawie Open tutaj

Intel SGX SDK

Intel obsługuje zestaw deweloperski oprogramowania do tworzenia aplikacji SGX dla obciążeń kontenerów systemów Linux i Windows. Kontenery systemu Windows nie są obecnie obsługiwane przez poufne węzły obliczeniowe usługi AKS.

Wprowadzenie do aplikacji opartych na technologii Intel SGX tutaj

Confidential Consortium Framework (CCF)

Confidential Consortium Framework (CCF) to platforma typu open source do tworzenia nowej kategorii bezpiecznych, wysoce dostępnych i wydajnych aplikacji, które koncentrują się na wielostronnych obliczeniach i danych. Usługa CCF może umożliwiać sieci poufne na dużą skalę, które spełniają kluczowe wymagania przedsiębiorstwa — zapewniając środki przyspieszające wdrażanie w środowisku produkcyjnym i korporacyjnym opartego na konsorcjum łańcucha bloków i wielostronnej technologii obliczeniowej.

Rozpoczynanie pracy z poufnymi obliczeniami na platformie Azure i usługą CCF tutaj

Środowisko uruchomieniowe poufnego wnioskowania ONNX

Środowisko uruchomieniowe ONNX oparte na enklawie typu open source ustanawia bezpieczny kanał między klientem a usługą wnioskowania — zapewniając, że ani żądanie, ani odpowiedź nie mogą pozostawić bezpiecznej enklawy.

To rozwiązanie umożliwia korzystanie z istniejącego wytrenowanego modelu uczenia maszynowego i ich poufne uruchamianie przy jednoczesnym zachowaniu zaufania między klientem a serwerem za pośrednictwem zaświadczania i weryfikacji.

Wprowadzenie do migracji metodą "lift and shift" modelu uczenia maszynowego do środowiska uruchomieniowego ONNX tutaj

Ego

Zestaw EGo SDK typu open source zapewnia obsługę języka programowania Go w enklawach. EGo opiera się na zestawie SDK Open Enclave. Ma na celu ułatwienie tworzenia poufnych mikrousług. Postępuj zgodnie z tym przewodnikiem krok po kroku, aby wdrożyć usługę opartą na protokole EGo w usłudze AKS.

Przykładowe implementacje oparte na kontenerach

Przykłady platformy Azure dla kontenerów obsługujących enklawy w usłudze AKS

Wdrażanie klastra usługi AKS za pomocą poufnych węzłów maszyn wirtualnych Intel SGX

Zaświadczenie platformy Azure

Poufne maszyny wirtualnej Intel SGX na kontenerach poufnych platformy Azure