Compartilhar via

Recomendações de pré-leitura

  • Artigo

Este documento foi elaborado para orientar você pelo processo de escolha de uma oferta de contêiner na Computação Confidencial do Azure que melhor atenda aos seus requisitos de carga de trabalho e postura de segurança. Para aproveitar o guia ao máximo, recomendamos as pré-leituras a seguir.

Matriz de decisão da Computação do Azure

Familiarize-se com as ofertas gerais de Computação do Azure para entender o contexto mais amplo no qual a Computação Confidencial do Azure funciona.

Introdução à Computação Confidencial do Azure

A Computação Confidencial do Azure oferece soluções para habilitar o isolamento de seus dados confidenciais enquanto eles estão sendo processados na nuvem. Você pode ler mais sobre computação confidencial Computação Confidencial do Azure.

Atestado

Atestado é um processo que fornece garantias sobre a integridade e a identidade dos ambientes de hardware e software nos quais os aplicativos são executados. Na Computação Confidencial, o atestado permite verificar se seus aplicativos estão em execução em um hardware confiável e em um ambiente de execução confiável.

Saiba mais sobre o atestado e o serviço Atestado do Microsoft Azure em Atestado no Azure

Definição de isolamento de memória

Na computação confidencial, o isolamento de memória é um recurso crítico que protege os dados durante o processamento. O Consórcio de Computação Confidencial define o isolamento de memória como:

"O isolamento de memória é a capacidade de impedir o acesso não autorizado aos dados na memória, mesmo que o invasor tenha comprometido o sistema operacional ou outro software que tenha privilégios. Isso é feito por meio de recursos baseados em hardware a fim de criar um ambiente seguro e isolado para carga de trabalho confidencial."

Escolha de uma oferta de contêiner na Computação Confidencial do Azure

A Computação Confidencial do Azure oferece várias soluções de implantação e gerenciamento de contêineres, cada uma adaptada a diferentes níveis de recursos de isolamento e atestado.

Sua configuração atual e necessidades operacionais vão ditar o caminho mais relevante ao longo deste documento. Se você já estiver utilizando o AKS (Serviço de Kubernetes do Azure) ou tiver dependências em APIs do Kubernetes, recomendamos seguir os caminhos do AKS. Por outro lado, se você estiver fazendo a transição de uma configuração de Máquina Virtual e estiver interessado em explorar contêineres sem servidor, o caminho da ACI (Instâncias de Contêiner do Azure) deverá ser interessante.

AKS (Serviço de Kubernetes do Azure)

Nós de trabalho de VM confidencial

  • Atestado de Convidado: capacidade de verificar se você está operando em uma máquina virtual confidencial fornecida pelo Azure.
  • Isolamento de Memória: isolamento no nível da VM com chave de criptografia de memória exclusiva para cada VM.
  • Modelo de programação: nenhuma alteração ou alterações mínimas em aplicativos conteinerizados. O suporte está limitado a contêineres baseados em Linux (contêineres que usam uma imagem base do Linux para o contêiner).

Você pode encontrar mais informações sobre Introdução aos nós de trabalho da CVM com uma carga de trabalho de elevação e deslocamento para o pool de nós CVM.

Contêineres confidenciais no AKS

  • Atestado de Convidado Completo: habilita o atestado do ambiente de computação confidencial completo, incluindo a carga de trabalho.
  • Isolamento de Memória: isolamento no nível do nó com uma chave de criptografia de memória exclusiva para cada VM.
  • Modelo de programação: nenhuma alteração ou alterações mínimas em aplicativos conteinerizados (contêineres que usam uma imagem base do Linux para o contêiner).
  • Cargas de Trabalho Ideais: aplicativos com processamento de dados confidenciais, cálculos envolvendo várias partes e requisitos de conformidade regulatória.

Você pode encontrar mais informações em contêineres confidenciais com o Serviço de Kubernetes do Azure.

Nós de Computação Confidencial com Intel SGX

  • Atestado de enclave de aplicativo: habilita o atestado do contêiner em execução em cenários nos quais só o aplicativo, não a VM, é confiável, garantindo um nível maior de segurança e confiança no ambiente de execução do aplicativo.
  • Isolamento: isolamento no nível do processo.
  • Modelo de programação: requer o uso de soluções de fornecedor ou sistema operacional de biblioteca de código aberto para executar aplicativos nos contêineres existentes. O suporte está limitado a contêineres baseados em Linux (contêineres que usam uma imagem base do Linux para o contêiner).
  • Cargas de trabalho ideais: aplicativos de alta segurança, por exemplo, sistemas de gerenciamento de chaves.

Você pode encontrar mais informações sobre a oferta e nossas soluções de parceiros aqui.

Sem servidor

Contêineres confidenciais as ACI (Instâncias de Contêiner do Azure)

  • Atestado de Convidado Completo: habilita o atestado do ambiente de computação confidencial completo, incluindo a carga de trabalho.
  • Isolamento: isolamento no nível do grupo de contêineres com uma chave de criptografia de memória exclusiva para cada grupo de contêineres.
  • Modelo de programação: nenhuma alteração ou alterações mínimas em aplicativos conteinerizados. O suporte está limitado a contêineres baseados em Linux (contêineres que usam uma imagem base do Linux para o contêiner).
  • Cargas de Trabalho Ideais: desenvolvimento rápido e implantação de cargas de trabalho em contêineres simples sem orquestração. Suporte à intermitência do AKS devido ao uso de nós virtuais.

Você pode encontrar mais detalhes em Introdução aos Contêineres Confidenciais na ACI.

Saiba mais

Máquinas Virtuais Confidenciais Intel SGX no AzureContêineres Confidenciais no Azure