Intel SGX ile Algılayan Kapsayıcıları Kuşatma
Kapanım, veriler ve kod yürütme için gizlilik sağlayan korumalı bir bellek bölgesidir. Donanımla güvenliği sağlanan bir Güvenilir Yürütme Ortamı (TEE) örneğidir. GIZLI bilgi işlem VM'sinin AKS üzerindeki desteği, her kapsayıcı uygulaması arasındaki düğümlerde yalıtılmış kapanım ortamları oluşturmak için Intel Software Guard Uzantılarını (SGX) kullanır.
Intel SGX sanal makinelerinde olduğu gibi kuşatmalarda çalıştırılacak şekilde geliştirilen kapsayıcı uygulamalarının da iki bileşeni vardır:
- Güvenilmeyen bir bileşen (konak olarak adlandırılır) ve
- Güvenilir bir bileşen (kapanım olarak adlandırılır).
Kapanıma duyarlı kapsayıcılar uygulama mimarisi, kod ayak izini kapanımda düşük tutarken uygulama üzerinde en fazla denetimi sağlar. Kapanımda çalışan kodun en aza indirilmesi, saldırı yüzeyi alanlarının azaltılmasına yardımcı olur.
Enablers
Enclave SDK’sını açma
Açık Kapanım SDK'sı , Donanım Tabanlı Güvenilen Yürütme Ortamları kullanan C, C++ uygulamaları geliştirmeye yönelik donanımdan bağımsız bir açık kaynak kitaplığıdır. Geçerli uygulama , Arm TrustZone üzerinde OP-TEE OS için Intel SGX ve önizleme desteği sağlar.
Open Enclave tabanlı kapsayıcı uygulamasını kullanmaya buradan başlayın
Intel SGX SDK
Intel, hem Linux hem de Windows kapsayıcı iş yükleri için SGX uygulamaları oluşturmaya yönelik yazılım geliştirme setini korur. Windows kapsayıcıları şu anda AKS gizli bilgi işlem düğümleri tarafından desteklenmiyor.
Intel SGX tabanlı uygulamaları kullanmaya buradan başlayın
Gizli Konsorsiyum Çerçevesi (CCF)
Gizli Konsorsiyum Çerçevesi (CCF), çok taraflı işlem ve verilere odaklanan yeni bir güvenli, yüksek oranda kullanılabilir ve performanslı uygulama kategorisi oluşturmaya yönelik açık kaynak bir çerçevedir. CCF, konsorsiyum tabanlı blok zinciri ve çok partili işlem teknolojisinin üretim ve kurumsal benimsemesini hızlandırmaya yönelik bir araç sağlayan, temel kurumsal gereksinimleri karşılayan yüksek ölçekli, gizli ağları etkinleştirebilir.
Azure gizli bilgi işlem ve CCF ile çalışmaya buradan başlayın
Gizli Çıkarım ONNX Çalışma Zamanı
Açık kaynak kapanım tabanlı ONNX çalışma zamanı, istemci ile çıkarım hizmeti arasında güvenli bir kanal oluşturur ve isteğin veya yanıtın güvenli kapanımdan çıkamamasını sağlar.
Bu çözüm, kanıtlama ve doğrulamalar aracılığıyla istemci ile sunucu arasında güven sağlarken mevcut ML eğitilmiş modelini getirmenize ve bunları gizli olarak çalıştırmanıza olanak tanır.
ML modeli lift and shift ile ONNX çalışma zamanına geçiş yapmaya buradan başlayın
Ego
Açık kaynak EGo SDK'sı kuşatmalar için Go programlama dili desteği getirir. EGo, Open Enclave SDK'sını oluşturur. Gizli mikro hizmetler oluşturmayı kolaylaştırmayı amaçlar. AKS'de EGo tabanlı bir hizmet dağıtmak için bu adım adım kılavuzu izleyin.
Container-Based Örnek Uygulamaları
AKS'de kapanıma duyarlı kapsayıcılar için Azure örnekleri
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin