Dela via

Förläsningsrekommendationer

  • Artikel

Det här dokumentet är utformat för att hjälpa dig att vägleda dig genom processen att välja ett containererbjudande på Azure Confidential Computing som bäst passar dina arbetsbelastningskrav och säkerhetsstatus. För att få ut det mesta av guiden rekommenderar vi följande förläsningar.

Beslutsmatris för Azure Compute

Bekanta dig med de övergripande Azure Compute-erbjudandena för att förstå den bredare kontext där Azure Confidential Computing fungerar.

Introduktion till konfidentiell databehandling i Azure

Azure Confidential Computing erbjuder lösningar som möjliggör isolering av känsliga data medan de bearbetas i molnet. Du kan läsa mer om konfidentiell databehandling i Azure konfidentiell databehandling.

Attestering

Attestering är en process som ger garantier om integriteten och identiteten för de maskinvaru- och programvarumiljöer där program körs. I Konfidentiell databehandling kan du kontrollera att dina program körs på betrodd maskinvara och i en betrodd körningsmiljö.

Läs mer om attestering och Microsoft Azure Attestation Service på Attestation i Azure

Definition av minnesisolering

Vid konfidentiell databehandling är minnesisolering en viktig funktion som skyddar data under bearbetningen. Konsortiet för konfidentiell databehandling definierar minnesisolering som:

"Minnesisolering är möjligheten att förhindra obehörig åtkomst till data i minnet, även om angriparen har komprometterat operativsystemet eller annan privilegierad programvara. Detta uppnås genom att använda maskinvarubaserade funktioner för att skapa en säker och isolerad miljö för konfidentiell arbetsbelastning."

Välja ett containererbjudande för konfidentiell databehandling i Azure

Azure Confidential Computing erbjuder olika lösningar för distribution och hantering av containrar, som var och en är skräddarsydd för olika nivåer av isolering och attesteringsfunktioner.

Dina aktuella konfigurations- och driftbehov avgör den mest relevanta sökvägen genom det här dokumentet. Om du redan använder Azure Kubernetes Service (AKS) eller har beroenden för Kubernetes-API:er rekommenderar vi att du följer AKS-sökvägarna. Om du å andra sidan övergår från en konfiguration av en virtuell dator och är intresserad av att utforska serverlösa containrar bör ACI-sökvägen (Azure Container Instances) vara av intresse.

Azure Kubernetes Service (AKS)

Konfidentiella VM-arbetsnoder

  • Gästattestering: Möjlighet att kontrollera att du arbetar på en konfidentiell virtuell dator som tillhandahålls av Azure.
  • Minnesisolering: Isolering på VM-nivå med unik minneskrypteringsnyckel per virtuell dator.
  • Programmeringsmodell: Noll till minimala ändringar för containerbaserade program. Stödet är begränsat till containrar som är Linux-baserade (containrar som använder en Linux-basavbildning för containern).

Du hittar mer information om att komma igång med CVM-arbetsnoder med en lift and shift-arbetsbelastning till CVM-nodpoolen.

Konfidentiella containrar på AKS

  • Fullständig gästattestering: Aktiverar attestering av den fullständiga konfidentiella databehandlingsmiljön, inklusive arbetsbelastningen.
  • Minnesisolering: Isolering på nodnivå med en unik minneskrypteringsnyckel per virtuell dator.
  • Programmeringsmodell: Noll till minimala ändringar för containerbaserade program (containrar som använder en Linux-basavbildning för containern).
  • Idealiska arbetsbelastningar: Program med känslig databehandling, beräkningar från flera parter och krav på regelefterlevnad.

Mer information finns i Konfidentiella containrar med Azure Kubernetes Service.

Konfidentiella beräkningsnoder med Intel SGX

  • Attestering av programenklav: Aktiverar attestering av containern som körs, i scenarier där den virtuella datorn inte är betrodd, men endast programmet är betrott, vilket säkerställer en ökad säkerhets- och förtroendenivå i programmets körningsmiljö.
  • Isolering: Isolering på processnivå.
  • Programmeringsmodell: Kräver användning av operativsystem för bibliotek med öppen källkod eller leverantörslösningar för att köra befintliga containerbaserade program. Stödet är begränsat till containrar som är Linux-baserade (containrar som använder en Linux-basavbildning för containern).
  • Idealiska arbetsbelastningar: Högsäkerhetsprogram som nyckelhanteringssystem.

Mer information om erbjudandet och våra partnerlösningar finns här.

Utan server

Konfidentiella containrar på Azure Container Instances (ACI)

  • Fullständig gästattestering: Aktiverar attestering av den fullständiga konfidentiella databehandlingsmiljön, inklusive arbetsbelastningen.
  • Isolering: Isolering på containergruppsnivå med en unik minneskrypteringsnyckel per containergrupp.
  • Programmeringsmodell: Noll till minimala ändringar för containerbaserade program. Stödet är begränsat till containrar som är Linux-baserade (containrar som använder en Linux-basavbildning för containern).
  • Idealiska arbetsbelastningar: Snabb utveckling och distribution av enkla containerbaserade arbetsbelastningar utan orkestrering. Stöd för burst-användning från AKS med hjälp av virtuella noder.

Mer information finns i Komma igång med konfidentiella containrar på ACI.

Läs mer

Intel SGX Confidential Virtual Machines på Konfidentiella Azure-containrari Azure