Azure Container Instances'ta gizli kapsayıcılar
Bu makalede, Azure Container Instances (ACI) üzerindeki gizli kapsayıcıların bulutta çalışan iş yüklerinizin güvenliğini nasıl sağlayabileceğiniz açıklanır. Bu makalede özellik kümesi, senaryolar, sınırlamalar ve kaynaklar hakkında arka plan sağlanır.
Azure Container Instances'taki gizli kapsayıcılar, müşterilerin Linux kapsayıcılarını donanım tabanlı ve doğrulanmış Bir Güvenilen Yürütme Ortamı (TEE) içinde çalıştırmasına olanak tanır. Müşteriler kapsayıcılı Linux uygulamalarını kaldırabilir ve kaydırabilir veya TEE'de gizliliğin avantajlarından yararlanmak için özel programlama modellerini benimsemeye gerek kalmadan yeni gizli bilgi işlem uygulamaları oluşturabilir. Azure Container Instances'taki gizli kapsayıcılar, kullanımdaki verileri korur ve bellekte kullanılan verileri şifreler. Azure Container Instances, doğrulanabilir yürütme ilkeleri ve konuk kanıtlama aracılığıyla güven güvencelerinin doğrulanabilir donanım kökü aracılığıyla bu özelliği genişletir.
Azure Container Instances'ta gizli kapsayıcıların özellikleri
Lift and shift uygulamaları
Müşteriler kapsayıcılı Linux uygulamalarını kaldırabilir ve kaydırabilir veya TEE'de gizliliğin avantajlarından yararlanmak için özel programlama modellerini benimsemeye gerek kalmadan yeni gizli bilgi işlem uygulamaları oluşturabilir.
Donanım tabanlı güvenilen yürütme ortamı
Azure Container Instances'taki gizli kapsayıcılar, AMD SEV-SNP özellikli işlemci tarafından oluşturulan ve yönetilen bir bellek şifreleme anahtarı içeren Hyper-V yalıtılmış TEE'ye sahip bir kapsayıcı grubunda dağıtılır. Bellekte kullanılan veriler, veri yürütme, bozulma, yeniden eşleme ve diğer ad tabanlı saldırılara karşı koruma sağlamaya yardımcı olmak için bu anahtarla şifrelenir.
Doğrulanabilir yürütme ilkeleri
Azure Container Instances'ta gizli kapsayıcılar, müşterilerin TEE içinde hangi yazılım ve eylemlerin çalışmasına izin verileceği üzerinde denetim sahibi olmasını sağlayan doğrulanabilir yürütme ilkeleriyle çalışabilir. Bu yürütme ilkeleri, hassas verileri sızdırabilecek beklenmeyen uygulama değişiklikleri oluşturan kötü aktörlere karşı korunmaya yardımcı olur. Müşteriler sağlanan araçlar aracılığıyla yürütme ilkeleri yazar ve şifreleme kanıtı ilkeleri doğrular.
Uzak konuk kanıtlama
ACI'daki gizli kapsayıcılar, bağlı olan taraflarla güvenli bir kanal oluşturmadan önce kapsayıcı grubunuzun güvenilirliğini doğrulamak için kullanılan uzak konuk kanıtlama desteği sağlar. Kapsayıcı grupları, donanımın imzaladığı ve donanım ve yazılım hakkındaki bilgileri içeren bir SNP donanım kanıtlama raporu oluşturabilir. Daha sonra Microsoft Azure Doğrulama hizmeti, tee'de herhangi bir hassas veri yayımlanmadan önce açık kaynak sepet uygulaması aracılığıyla veya başka bir kanıtlama hizmeti tarafından oluşturulan bu donanım kanıtlamasını doğrulayabilir.
Gizli bilgi işlem uygulama ilkeleri
Gizli kapsayıcılar, gizli bilgi işlem uygulama (CCE) ilkeleri aracılığıyla kapsayıcı düzeyinde bütünlüğü ve kanıtlamayı destekler. Gizli bilgi işlem uygulama ilkeleri, kapsayıcı çalışma zamanının zorunlu kıldığı kapsayıcı grubu içinde çalışmasına izin verilen bileşenleri reçete eder.
Azure CLI confcom uzantısı
Azure CLI confcom uzantısı, müşterilerin giriş olarak ARM şablonu kullanarak ve çıkış olarak temel 64 dize ilkesi sağlayarak gizli bilgi işlem uygulama ilkeleri oluşturmasına olanak tanır. Bu çıkış, hangi bileşenlerin çalıştırılmasına izin verilenleri zorlamak için kapsayıcı grubunun tanımına eklenir. Gizli bilgi işlem yürütme ilkeleri yazma hakkında daha fazla bilgi için bkz . Azure CLI confcom uzantısı.
Güvenli anahtar sürümü ve şifrelenmiş dosya sistemi sepetleri
Azure Container Instances'ta gizli kapsayıcılar, kapsayıcı grubu içindeki gizli işlevleri desteklemek için iki açık kaynak sepetle tümleşir. Bu sepetleri ve daha fazla bilgiyi gizli sepet deposunda bulabilirsiniz.
Güvenli anahtar serbest bırakma sepet
Azure Container Instances'taki gizli kapsayıcılar, kanıtlama ve güvenli anahtar sürümü için sepet açık kaynak kapsayıcı sağlar. Bu sepet, diğer kapsayıcıların POST yöntemi aracılığıyla bir donanım kanıtlama raporu veya Microsoft Azure Doğrulama belirteci alabilmesi için rest API'yi kullanıma sunan bir web sunucusu oluşturur. Sepet, doğrulama tamamlandıktan sonra kapsayıcı grubuna bir anahtar yayınlamak için Azure Key Vault ile tümleşir.
Şifrelenmiş dosya sistemi sepet
Azure Container Instances'ta gizli kapsayıcılar, daha önce Azure Blob Depolama'a yüklenmiş uzaktan şifrelenmiş bir dosya sistemini bağlamak için bir sepet kapsayıcısı sağlar. Sepet kapsayıcısı, donanım kanıtlamasını ve sertifika zincirini saydam bir şekilde alır ve kanıtlamanın imzalama anahtarını destekler. Ardından Microsoft Azure Doğrulama'den, yönetilen HSM'den dosya sisteminin şifreleme anahtarını güvenli bir şekilde serbest bırakmak için gereken kanıtlama belirtecini yetkilendirmesini ister. Anahtar sepet kapsayıcısına yalnızca beklenen yetkili kanıtlama belirtecini imzalamışsa ve kanıtlama talepleri anahtarın yayın ilkesiyle eşleşiyorsa serbest bırakılır. Sepet kapsayıcısı, uzaktan şifrelenmiş dosya sistemini bağlamak için anahtarı saydam olarak kullanır; bu işlem, kapsayıcı grubu içinde çalışan bir kapsayıcıdan herhangi bir işlemde dosya sisteminin gizliliğini ve bütünlüğünü korur.
Senaryolar
Çok taraflı veri analizi ve makine öğrenmesi eğitimi için veri temizleme odaları
İş işlemleri ve proje işbirliği genellikle gizli verilerin birden çok taraf arasında paylaşılması gerekir. Bu veriler, yetkisiz erişime karşı korunması gereken kişisel bilgileri, finansal bilgileri ve tıbbi kayıtları içerebilir. Azure Container Instances'taki gizli kapsayıcılar, müşterilerin giriş verilerini diğer taraflara göstermeden birden çok kaynaktan eğitim verilerini işlemesi için gerekli özellikleri (donanım tabanlı TEE'ler, uzaktan kanıtlama) sağlar. Bu özellikler, kuruluşların kendi veya iş ortaklarının veri kümelerinden daha fazla değer elde etmelerini sağlarken, hassas bilgilerine erişim denetimi de sağlar. Bu teklif, Azure Container Instances'ta gizli kapsayıcıları gizli makine öğrenmesi gibi çok taraflı veri analizi senaryoları için ideal hale getirir.
Gizli çıkarım
Hızlı ve kolay dağıtımlar, esnek kaynak ayırma ve kullanım başına ödeme fiyatlandırması sağlayan ACI, bunu gizli çıkarım iş yükleri için harika bir platform olarak konumlandırıyor. Azure Container Instances'taki gizli kapsayıcılar sayesinde model geliştiricileri ve veri sahipleri, model geliştiricisinin fikri mülkiyetini korurken ve güvenli ve özel çıkarım için kullanılan verileri korurken işbirliği yapabilir. Azure Container Instances'ta gizli kapsayıcıları kullanarak örnek bir gizli çıkarım dağıtımına göz atın.
Desteklenmeyen Senaryolar
- Azure CLI konfederasyon uzantısının gizli bilgi işlem uygulama ilkeleri oluşturması gerekir.
- Gizli bilgi işlem uygulama ilkeleri el ile oluşturulamaz.
Kaynaklar
- Azure CLI confcom uzantısı
- Gizli sepet kapsayıcıları
- Gizli merhaba dünya uygulaması
- Makine öğrenmesi çıkarım tanıtımı
Sonraki Adımlar
- Dağıtım örneği için bkz. Azure Resource Manager ile gizli kapsayıcı grubu dağıtma