Azure Container Instances'da gizli kapsayıcılar

  • Makale

Bu makalede, Azure Container Instances'daki gizli kapsayıcıların bulutta çalışan iş yüklerinizin güvenliğini nasıl sağlayabileceğiniz açıklanır. Bu makalede özellik kümesi, senaryolar, sınırlamalar ve kaynaklar hakkında arka plan sağlanır.

Azure Container Instances üzerindeki gizli kapsayıcılar, müşterilerin Linux kapsayıcılarını donanım tabanlı ve doğrulanmış Güvenilen Yürütme Ortamı (TEE) içinde çalıştırmasına olanak tanır. Müşteriler kapsayıcılı Linux uygulamalarını kaldırabilir ve kaydırabilir veya TEE'de gizliliğin avantajlarından yararlanmak için özelleştirilmiş programlama modellerini benimsemeye gerek kalmadan yeni gizli bilgi işlem uygulamaları oluşturabilir. üzerindeki gizli kapsayıcılar Azure Container Instances kullanımdaki verileri korur ve bellekte kullanılan verileri şifreler. Azure Container Instances, doğrulanabilir yürütme ilkeleri ve konuk kanıtlama aracılığıyla güven güvencelerinin doğrulanabilir donanım kökü aracılığıyla bu özelliği genişletir.

Azure Container Instances'da gizli kapsayıcı grubunun ekran görüntüsü.

Azure Container Instances'da gizli kapsayıcıların özellikleri

Uygulamaları kaldırma ve kaydırma

Müşteriler kapsayıcılı Linux uygulamalarını kaldırabilir ve kaydırabilir veya TEE'de gizliliğin avantajlarından yararlanmak için özelleştirilmiş programlama modellerini benimsemeye gerek kalmadan yeni gizli bilgi işlem uygulamaları oluşturabilir.

Donanım tabanlı güvenilen yürütme ortamı

Azure Container Instances'daki gizli kapsayıcılar, AMD SEV-SNP özellikli bir işlemci tarafından oluşturulan ve yönetilen bir bellek şifreleme anahtarı içeren Hyper-V yalıtılmış TEE'ye sahip bir kapsayıcı grubunda dağıtılır. Bellekte kullanımda olan veriler, verileri yeniden yürütme, bozulma, yeniden eşleme ve diğer ad tabanlı saldırılara karşı koruma sağlamaya yardımcı olmak için bu anahtarla şifrelenir.

Doğrulanabilir yürütme ilkeleri

Azure Container Instances'deki gizli kapsayıcılar, müşterilerin TEE içinde hangi yazılım ve eylemlerin çalışmasına izin verileceği üzerinde denetim sahibi olmasını sağlayan doğrulanabilir yürütme ilkeleriyle çalıştırılabilir. Bu yürütme ilkeleri, hassas verileri sızdırabilecek beklenmeyen uygulama değişiklikleri oluşturan kötü aktörlere karşı korumaya yardımcı olur. Yürütme ilkeleri müşteri tarafından sağlanan araçlar aracılığıyla yazılır ve şifreleme kanıtı aracılığıyla doğrulanır.

Uzak konuk kanıtlama

ACI'daki gizli kapsayıcılar, bağlı olan taraflarla güvenli bir kanal oluşturmadan önce kapsayıcı grubunuzun güvenilirliğini doğrulamak için kullanılan uzak konuk kanıtlama desteği sağlar. Kapsayıcı grupları, donanım tarafından imzalanan ve donanım ve yazılım hakkındaki bilgileri içeren bir SNP donanım kanıtlama raporu oluşturabilir. Bu oluşturulan donanım kanıtlama raporu, tee'de herhangi bir hassas veri yayımlanmadan önce microsoft Azure Doğrulama hizmeti tarafından bir açık kaynak sepet uygulaması aracılığıyla veya başka bir kanıtlama hizmeti tarafından doğrulanabilir.

Gizli bilgi işlem uygulama ilkeleri

Gizli kapsayıcılar, gizli bilgi işlem uygulama (CCE) ilkeleri aracılığıyla kapsayıcı düzeyinde bütünlüğü ve kanıtlamayı destekler. Gizli bilgi işlem uygulama ilkeleri, kapsayıcı grubu içinde çalıştırılmasına izin verilen ve kapsayıcı çalışma zamanı tarafından zorunlu tutulacak bileşenleri ortaya koymaktadır.

Azure CLI confcom uzantısı

Azure CLI confcom uzantısı, müşterilerin giriş olarak ARM şablonu kullanarak ve çıkış olarak bir temel 64 dize ilkesi sağlayarak gizli bilgi işlem uygulama ilkeleri oluşturmasına olanak tanır. Bu çıkış, hangi bileşenlerin çalıştırılmasına izin verilenleri zorlamak için kapsayıcı grubunun tanımına eklenir. Gizli bilgi işlem yürütme ilkeleri yazma hakkında daha fazla bilgi için bkz. Azure CLI confcom uzantısı.

Güvenli anahtar sürümü ve şifrelenmiş dosya sistemi sepetleri

Azure Container Instances'da gizli kapsayıcılar, kapsayıcı grubundaki gizli işlevleri desteklemek için iki açık kaynak sepetle tümleşir. Bu sepetleri ve daha fazla bilgiyi gizli sepet deposunda bulabilirsiniz.

Güvenli anahtar bırakma sepet

Azure Container Instances'daki gizli kapsayıcılar, kanıtlama ve güvenli anahtar bırakma için sepet açık kaynak kapsayıcı sağlar. Bu sepet, diğer kapsayıcıların POST yöntemi aracılığıyla bir donanım kanıtlama raporu veya Microsoft Azure Doğrulama belirteci alabilmesi için REST API'sini kullanıma sunan bir web sunucusu örneği oluşturur. Sepet, doğrulama tamamlandıktan sonra kapsayıcı grubuna bir anahtar yayınlamak için Azure Key Vault ile tümleşir.

Şifrelenmiş dosya sistemi sepet

Azure Container Instances'deki gizli kapsayıcılar, daha önce Azure Blob Depolama'a yüklenmiş uzaktan şifrelenmiş bir dosya sistemini bağlamak için bir sepet kapsayıcısı sağlar. Sepet kapsayıcısı, donanım kanıtlamasını ve kanıtlamanın imzalama anahtarını veren sertifika zincirini saydam bir şekilde alır. Ardından Microsoft Azure Doğrulama'den, yönetilen HSM'den dosya sisteminin şifreleme anahtarını güvenli bir şekilde serbest bırakmak için gereken bir kanıtlama belirtecini yetkilendirmesini ister. Anahtar sepet kapsayıcısına serbest bırakılabilmesi için kanıtlama belirtecinin beklenen yetkili tarafından imzalanması ve kanıtlama taleplerinin anahtarın yayın ilkesiyle eşleşmesi gerekir. Sepet kapsayıcısı, uzaktan şifrelenmiş dosya sistemini bağlamak için anahtarı saydam bir şekilde kullanır; bu işlem, kapsayıcı grubu içinde çalışan bir kapsayıcıdan herhangi bir işlemde dosya sisteminin gizliliğini ve bütünlüğünü korur.

Senaryolar

Çok taraflı veri analizi ve makine öğrenmesi eğitimi için veri temizleme odaları

İş işlemleri ve proje işbirliği için genellikle birden çok taraf arasında gizli verilerin paylaşılması gerekir. Bu veriler, yetkisiz erişime karşı korunması gereken kişisel bilgileri, finansal bilgileri ve tıbbi kayıtları içerebilir. Azure Container Instances'daki gizli kapsayıcılar, müşterilerin giriş verilerini diğer taraflara göstermeden birden çok kaynaktan eğitim verilerini işlemesi için gerekli özellikleri (donanım tabanlı TEE'ler, uzaktan kanıtlama) sağlar. Bu, kuruluşların kendi veya iş ortaklarının veri kümelerinden daha fazla değer elde etmelerini sağlarken, hassas bilgilerine erişim denetimi de sağlar. Bu, Azure Container Instances'da gizli kapsayıcıları gizli makine öğrenmesi gibi çok taraflı veri analizi senaryoları için ideal hale getirir.

Azure Container Instances ml eğitim modelinin ekran görüntüsü.

Gizli çıkarım

ACI, hızlı ve kolay dağıtımlar, esnek kaynak ayırma ve kullanım başına ödeme fiyatlandırması sağlar. Bu fiyatlandırma, bunu gizli çıkarım iş yükleri için harika bir platform olarak konumlandırıyor. Azure Container Instances'daki gizli kapsayıcılarla model geliştiricileri ve veri sahipleri, model geliştiricisinin fikri mülkiyetini korurken ve güvenli ve özel çıkarım için kullanılan verileri korurken işbirliği yapabilir. Azure Container Instances'da gizli kapsayıcılar kullanarak örnek bir gizli çıkarım dağıtımına göz atın.

Azure Container Instances ml çıkarım modelinin ekran görüntüsü.

Desteklenmeyen Senaryolar

  • Gizli bilgi işlem uygulama ilkeleri Azure CLI confcom uzantısı tarafından oluşturulmalıdır ve el ile oluşturulamaz.

Kaynaklar

Sonraki Adımlar