Поделиться через


Предварительные рекомендации

Этот документ предназначен для того, чтобы помочь вам в процессе выбора предложения контейнера в Конфиденциальных вычислениях Azure, который лучше всего соответствует вашим требованиям к рабочей нагрузке и безопасности. Чтобы получить большую часть руководства, рекомендуется ознакомиться со следующими предварительными сведениями.

Матрица принятия решений вычислений Azure

Ознакомьтесь с общими предложениями вычислений Azure, чтобы понять более широкий контекст работы конфиденциальных вычислений Azure.

Общие сведения о конфиденциальных вычислениях Azure

Конфиденциальные вычисления Azure предлагают решения для обеспечения изоляции конфиденциальных данных во время обработки в облаке. Дополнительные сведения о конфиденциальных вычислениях Azure см. в статье о конфиденциальных вычислениях Azure.

Аттестация

Аттестация — это процесс, обеспечивающий гарантии целостности и идентификации аппаратных и программных сред, в которых выполняются приложения. В конфиденциальных вычислениях аттестация позволяет убедиться, что приложения работают на доверенном оборудовании и в доверенной среде выполнения.

Дополнительные сведения об аттестации и службе microsoft Аттестация Azure аттестации в Azure

Определение изоляции памяти

В конфиденциальных вычислениях изоляция памяти является важной функцией, которая защищает данные во время обработки. Консорциум конфиденциальных вычислений определяет изоляцию памяти следующим образом:

"Изоляция памяти — это возможность предотвратить несанкционированный доступ к данным в памяти, даже если злоумышленник скомпрометировал операционную систему или другое привилегированное программное обеспечение. Это достигается с помощью аппаратных функций для создания безопасной и изолированной среды для конфиденциальной рабочей нагрузки".

Выбор предложения контейнера в конфиденциальных вычислениях Azure

Конфиденциальные вычисления Azure предлагают различные решения для развертывания и управления контейнерами, адаптированные для различных уровней изоляции и аттестации.

Текущие требования к настройке и эксплуатации определяют наиболее подходящий путь к этому документу. Если вы уже используете Служба Azure Kubernetes (AKS) или имеете зависимости от API Kubernetes, рекомендуется следовать путям AKS. С другой стороны, если вы переходите из установки виртуальной машины и заинтересованы в изучении бессерверных контейнеров, путь ACI (Экземпляры контейнеров Azure) должен быть интересен.

Служба Azure Kubernetes (AKS)

Конфиденциальные рабочие узлы виртуальной машины

  • Аттестация гостей. Возможность проверить, работаете ли вы на конфиденциальной виртуальной машине, предоставляемой Azure.
  • Изоляция памяти: изоляция уровня виртуальной машины с уникальным ключом шифрования памяти для каждой виртуальной машины.
  • Модель программирования: ноль до минимальных изменений для контейнерных приложений. Поддержка ограничена контейнерами, которые основаны на Linux (контейнеры с использованием базового образа Linux для контейнера).

Дополнительные сведения о начале работы с рабочими узлами CVM можно найти с помощью рабочей нагрузки лифта и перемещения в пул узлов CVM.

Конфиденциальные контейнеры в AKS

  • Полная аттестация гостей. Включает аттестацию полной конфиденциальной вычислительной среды, включая рабочую нагрузку.
  • Изоляция памяти. Изоляция на уровне узла с уникальным ключом шифрования памяти на виртуальную машину.
  • Модель программирования: ноль до минимальных изменений для контейнерных приложений (контейнеров с использованием базового образа Linux для контейнера).
  • Идеальные рабочие нагрузки: приложения с обработкой конфиденциальных данных, многопользовательскими вычислениями и требованиями соответствия нормативным требованиям.

Дополнительные сведения см. в Служба Azure Kubernetes конфиденциальных контейнеров.

Узлы конфиденциальных вычислений с intel SGX

  • Аттестация анклавов приложений: включает аттестацию запущенного контейнера в сценариях, когда виртуальная машина не является доверенной, но только приложение является доверенным, обеспечивая повышенный уровень безопасности и доверия в среде выполнения приложения.
  • Изоляция: изоляция уровня процесса.
  • Модель программирования. Требуется использование ОС библиотеки с открытым кодом или решений поставщика для запуска существующих контейнерных приложений. Поддержка ограничена контейнерами, которые основаны на Linux (контейнеры с использованием базового образа Linux для контейнера).
  • Идеальные рабочие нагрузки: высокобезопасные приложения, такие как системы управления ключами.

Дополнительные сведения о предложении и наших партнерских решениях см. здесь.

Бессерверные приложения

Конфиденциальные контейнеры в Экземпляры контейнеров Azure (ACI)

  • Полная аттестация гостей. Включает аттестацию полной конфиденциальной вычислительной среды, включая рабочую нагрузку.
  • Изоляция: изоляция уровня группы контейнеров с уникальным ключом шифрования памяти для каждой группы контейнеров.
  • Модель программирования: ноль до минимальных изменений для контейнерных приложений. Поддержка ограничена контейнерами, которые основаны на Linux (контейнеры с использованием базового образа Linux для контейнера).
  • Идеальные рабочие нагрузки: быстрая разработка и развертывание простых контейнерных рабочих нагрузок без оркестрации. Поддержка ускорения из AKS с помощью виртуальных узлов.

Дополнительные сведения см. в статье "Начало работы с конфиденциальными контейнерами" в ACI.

Подробнее

Конфиденциальные Виртуальные машины Intel SGX в конфиденциальных контейнерах Azure в Azure