你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

预读建议

本文档旨在指导你在 Azure 机密计算上选择最适合你的工作负载要求和安全状况的容器产品。 若要充分利用指南,建议首先预先阅读以下方面的内容。

Azure 计算决策矩阵

熟悉整个 Azure 计算产品,以了解能够运行 Azure 机密计算的更广泛环境。

Azure 机密计算简介

在云中处理敏感数据时,可以使用 Azure 机密计算提供的解决方案隔离这些数据。 可以阅读有 Azure 机密计算,以了解关机密计算的详细信息。

证明

证明是指一个过程,旨在保证运行应用程序的硬件和软件环境的完整性和标识。 在机密计算中,证明允许验证应用程序是否在受信任的硬件和受信任的执行环境中运行。

可在 Azure 中的证明详细了解证明和 Microsoft Azure Attestation 服务

内存隔离的定义

在机密计算中,内存隔离是一项关键功能,用于在处理过程中保护数据。 机密计算联盟对于内存隔离的定义是:

“即使攻击者入侵了操作系统或其他特权软件,内存隔离也能够防止入侵者对内存中的数据进行未经授权的访问。 具体的实现方法是,使用基于硬件的功能为机密工作负荷创建安全隔离的环境。

在 Azure 机密计算中选择容器产品

Azure 机密计算为容器部署和管理提供了各种解决方案,每个解决方案都都针对不同级别的隔离和证明功能进行了定制。

当前设置和操作需求决定了本文档中最相关的路径。 如果已使用 Azure Kubernetes 服务 (AKS),或者依赖于 Kubernetes API,建议遵循 AKS 路径。 另一方面,如果你要从虚拟机设置转换,并且想要探索无服务器容器,那么你应该关注一下 ACI(Azure 容器实例)路径。

Azure Kubernetes 服务 (AKS)

机密 VM 工作器节点

  • 来宾证明:能够验证你是否在 Azure 提供的机密虚拟机上运行。
  • 内存隔离:虚拟机级别隔离,每个虚拟机具有唯一的内存加密密钥。
  • 编程模型:几乎无需对容器化应用程序进行任何更改。 支持仅限于基于 Linux 的容器(使用容器的 Linux 基础映像的容器)。

开始使用 CVM 工作器节点,并将工作负载提升并转移到 CVM 节点池。提供了更多信息。

AKS 上的机密容器

  • 完整来宾证明:启用完整机密计算环境(包括工作负荷)的证明。
  • 内存隔离:节点级隔离,每个虚拟机具有唯一的内存加密密钥。
  • 编程模型:几乎无需对容器化应用程序(使用 Linux 基础映像作为容器的容器)进行任何更改。
  • 理想的工作负载:具有敏感数据处理、多方计算和法规合规性要求的应用程序。

Azure Kubernetes 服务上的机密容器提供了更多信息。

使用 Intel SGX 的机密计算节点

  • 应用程序 Enclave 证明:在不信任 VM 而是仅信任应用程序的情况下,启用容器运行的证明,确保应用程序执行环境中的安全性和信任程度提高。
  • 隔离:进程级别隔离。
  • 编程模型:需要使用开源库 OS 或供应商解决方案来运行现有的容器化应用程序。 支持仅限于基于 Linux 的容器(使用容器的 Linux 基础映像的容器)。
  • 理想的工作负荷:高安全性应用程序,例如密钥管理系统。

可在此处找到有关产品和合作伙伴解决方案的更多信息。

无服务器

Azure 容器实例 (ACI) 上的机密容器

  • 完整来宾证明:启用完整机密计算环境(包括工作负荷)的证明。
  • 隔离:容器组级别的隔离,每个容器组具有唯一的内存加密密钥。
  • 编程模型:几乎无需对容器化应用程序进行任何更改。 支持仅限于基于 Linux 的容器(使用容器的 Linux 基础映像的容器)。
  • 理想的工作负荷:无需编排业务流程即可快速开发和部署简单的容器化工作负荷。 支持使用虚拟节点从 AKS 突发。

ACI 上的机密容器入门中提供了更多详细信息。

了解详细信息

Azure 上的 Intel SGX 机密虚拟机Azure 上的机密容器