Enklavermedvetna containrar med Intel SGX
En enklav är en skyddad minnesregion som tillhandahåller konfidentialitet för data och kodkörning. Det är en instans av en betrodd körningsmiljö (TEE) som skyddas av maskinvara. Stöd för den virtuella datorn för konfidentiell databehandling på AKS använder Intel Software Guard Extensions (SGX) för att skapa isolerade enklavmiljöer i noderna mellan varje containerprogram.
Precis som virtuella Intel SGX-datorer har containerprogram som har utvecklats för att köras i enklaver två komponenter:
- En obetrodd komponent (kallas värd) och
- En betrodd komponent (kallas enklaven).
Enklavmedveten containerprogramarkitektur ger dig mest kontroll över implementeringen samtidigt som du håller kodavtrycket i enklaven lågt. Att minimera koden som körs i enklaven bidrar till att minska attackytans områden.
Möjliggör
Öppna Enclave SDK
Open Enclave SDK är ett maskinvaruagnostiskt bibliotek med öppen källkod för utveckling av C-, C++-program som använder maskinvarubaserade betrodda körningsmiljöer. Den aktuella implementeringen ger stöd för Intel SGX och förhandsversionsstöd för OP-TEE OS på Arm TrustZone.
Kom igång med Open Enclave-baserat containerprogram här
Intel SGX SDK
Intel underhåller programutvecklingspaketet för att skapa SGX-program för både Linux- och Windows-containerarbetsbelastningar. Windows-containrar stöds för närvarande inte av AKS-noder för konfidentiell databehandling.
Kom igång med Intel SGX-baserade program här
Confidential Consortium Framework (CCF)
Confidential Consortium Framework (CCF) är ett ramverk med öppen källkod för att skapa en ny kategori av säkra, högtillgängliga och högpresterande program som fokuserar på beräkning och data från flera parter. CCF kan möjliggöra storskaliga, konfidentiella nätverk som uppfyller viktiga företagskrav – vilket ger ett sätt att påskynda produktionen och företagsinförandet av konsortiumbaserad blockkedja och beräkningsteknik med flera parter.
Kom igång med konfidentiell databehandling i Azure och CCF här
ONNX-miljö för konfidentiell slutsatsdragning
Enklaverbaserad ONNX-körning med öppen källkod upprättar en säker kanal mellan klienten och inferenstjänsten – vilket säkerställer att varken begäran eller svaret kan lämna den säkra enklaven.
Med den här lösningen kan du ta med befintlig ML-tränad modell och köra dem konfidentiellt samtidigt som du ger förtroende mellan klienten och servern via attestering och verifiering.
Kom igång med ML-modellen lift and shift till ONNX-körning här
Ego
EGo SDK med öppen källkod ger stöd för programmeringsspråket Go till enklaver. EGo bygger på Open Enclave SDK. Syftet är att göra det enkelt att bygga konfidentiella mikrotjänster. Följ den här stegvisa guiden för att distribuera en EGo-baserad tjänst på AKS.
Container-Based exempelimplementeringar
Azure-exempel för enklavermedvetna containrar på AKS
Distribuera AKS-kluster med Intel SGX Confidential VM Nodes
Intel SGX Confidential Virtual Machine på AzureConfidential Containers
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för