Конфиденциальные вычисления в Контейнеры приложений Azure

Конфиденциальные вычисления в Контейнеры приложений Azure помогают защитить контейнерные рабочие нагрузки во время обработки данных. В этой статье вы узнаете, когда следует использовать конфиденциальные вычисления, как работать с выделенными профилями рабочих нагрузок, как включить его для приложения-контейнера и как проверить, работает ли ваше приложение в конфиденциальной вычислительной инфраструктуре.

Преимущества конфиденциальных вычислений в Контейнеры приложений Azure

Конфиденциальные вычисления дополняют шифрование данных в состоянии покоя в Azure и шифрование данных при передаче, защищая данные в процессе их обработки. При выполнении рабочих нагрузок в профиле рабочей нагрузки для конфиденциальных вычислений вы получите:

  • Аппаратная изоляция с помощью доверенных сред выполнения (TEEs).
  • Шифрование данных в памяти во время выполнения рабочих нагрузок.
  • Защита от несанкционированного доступа к используемым данным, включая доступ от операторов инфраструктуры.

Платформа Azure и базовая инфраструктура конфиденциальной виртуальной машины предоставляют и применяют эти гарантии. Дополнительные сведения см. в разделе Конфиденциальные вычисления Azure.

Когда следует использовать конфиденциальные вычисления

Используйте конфиденциальные вычисления в Контейнеры приложений Azure, когда:

  • Ваши рабочие нагрузки обрабатывают строго конфиденциальные данные или данные, подпадающие под нормативные требования.
  • Защита данных во время обработки является обязательным требованием.
  • Вы хотите воспользоваться преимуществами безопасности конфиденциальных вычислений, не управляя инфраструктурой или изменяя код приложения.

Принцип работы конфиденциальных вычислений

Вы можете включить конфиденциальные вычисления на уровне профиля рабочей нагрузки, а не на уровне отдельного приложения контейнера или редакции. При добавлении выделенного профиля рабочей нагрузки серии DC в среду все приложения контейнеров, назначенные этому профилю, автоматически выполняются в конфиденциальной вычислительной инфраструктуре, поддерживаемой номерами SKU конфиденциальных виртуальных машин.

Вам не нужно настраивать параметры для каждого приложения или каждого контейнера. Развертывайте контейнерные приложения, используя те же образы, инструменты и рабочие процессы, что и для неконфиденциальных рабочих нагрузок. Вам не нужны специальные конфигурации среды выполнения контейнера или пакеты SDK.

Необходимые условия

Прежде чем включить конфиденциальные вычисления, убедитесь, что у вас есть следующие элементы:

  1. Среда Контейнеры приложений Azure в поддерживаемом регионе.
  2. Выделенный профиль рабочей нагрузки, использующий тип профиля рабочей нагрузки серии DC.
  3. Контейнерное приложение, которому назначен профиль рабочей нагрузки DC-series.

Включение конфиденциальных вычислений

В следующем примере создается среда "Приложения контейнеров" с профилем рабочей нагрузки серии DC и развертывается приложение контейнера, назначенное данному профилю:

  1. Создайте среду с профилем рабочей нагрузки серии DC.

    az containerapp env create \
  --name <ENVIRONMENT_NAME> \
  --resource-group <RESOURCE_GROUP_NAME> \
  --location <SUPPORTED_REGION> \
  --workload-profile-type DC4 \
  --workload-profile-name my-wp-confidential

  2. Создайте приложение-контейнер и назначьте его профилю рабочей нагрузки.

    az containerapp create \
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP_NAME> \
  --environment <ENVIRONMENT_NAME> \
  --workload-profile-name my-wp-confidential \
  --image <CONTAINER_IMAGE>

Параметр --workload-profile-name my-wp-confidential назначает приложению профиль рабочей нагрузки серии DC, который включает конфиденциальные вычисления.

Порядок добавления профилей рабочей нагрузки и управления ими см. в статье Управление профилями рабочей нагрузки с помощью Azure CLI.

Проверка конфигурации конфиденциальных вычислений

Используйте эту быструю проверку, чтобы подтвердить, что приложение назначено профилю рабочей нагрузки серии DC.

Azure CLI

  1. Получите профиль рабочей нагрузки, назначенный контейнерному приложению.

    az containerapp show \
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP_NAME> \
  --query properties.workloadProfileName \
  -o tsv

    Пример выходных данных:

    my-wp-confidential

  2. Получите тип профиля рабочей нагрузки для этого профиля в среде.

    az containerapp env workload-profile list \
  --name <ENVIRONMENT_NAME> \
  --resource-group <RESOURCE_GROUP_NAME> \
  --query "[].{name:name,workloadProfileType:workloadProfileType}"

    Пример выходных данных:

    [
  {
    "name": "my-wp-confidential",
    "workloadProfileType": "DC4"
  }
]

    В этом примере my-wp-confidential используется пример имени профиля. Имя профиля может отличаться.

Если профиль, назначенный приложению, имеет workloadProfileType значение, которое начинается с DC, например DC4 или DC8, приложение работает в конфиденциальной вычислительной инфраструктуре.

Azure portal

  1. На портале Azure перейдите к приложению контейнера.
  2. На странице обзора обратите внимание на значение среды и перейдите к этой среде.
  3. В среде "Приложения контейнеров" перейдите к профилям рабочей нагрузки.
  4. Найдите профиль рабочей нагрузки, используемый приложением, и убедитесь, что тип профиля и размер начинаются с DC, например DC4 или DC8.

Поддерживаемые профили рабочей нагрузки

Конфиденциальные вычисления доступны только в выделенных профилях рабочей нагрузки серии DC. Поддерживаемые размеры:

  • DC4
  • DC8
  • DC16
  • DC32
  • DC48
  • DC64
  • DC96

Доступность этих профилей рабочих нагрузок зависит от региона. Не все регионы с профилями серии DC поддерживают конфиденциальные вычисления. Текущий список регионов, где доступны конфиденциальные вычисления, см. в разделе "Поддерживаемые регионы".

Поддерживаемые регионы

Контейнеры приложений Azure поддерживает конфиденциальные вычисления в северном регионе ОАЭ. Чтобы запросить регион, отправьте проблему по GitHub.

Связанный контент

  • Last updated on