你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
构建机密计算解决方案
Azure 机密计算提供各种用于构建机密解决方案的选项。 从启用现有应用程序的“直接迁移”方案到完全控制各种安全功能,选项的范围十分广泛。 这些功能包括对访问级别的控制。 可将主机提供程序或来宾操作员访问级别设置为数据和代码。 你还可以控制其他可能会危及云中运行的工作负载的完整性的 Rootkit 或恶意软件访问。
解决方案
安全 enclave 或机密虚拟机等技术让客户可以选择他们想要在构建机密解决方案时采用的方法。
- 不能访问源代码的现有应用程序可能会受益于基于 AMD SEV-SNP 技术的机密 VM,从而轻松加入到 Azure 机密计算平台。
- 包含用于防范任何信任攻击途径的专用代码的复杂工作负载可能会受益于安全的应用程序 enclave 技术。 Azure 当前在基于 Intel SGX 的 VM 中提供应用程序 enclave。 Intel SGX 提供对硬件加密的内存空间中运行的数据和代码的保护。 这些应用程序通常需要与已证明非常安全的 enclave(通过使用开源框架获取)进行通信。
- 在 Azure Kubernetes 服务中启用的机密容器上运行的容器化解决方案可能适合寻求一种平衡方法来实现机密性的的客户。 在这些方案中,现有应用可以随有限的更改打包并部署到容器中,但仍提供与云服务提供商和管理员之间的完全安全隔离。
了解详细信息
若要利用 enclave 和独立环境的强大功能,需要使用支持机密计算的工具。 有多种工具支持领地应用程序开发。 请参阅 enclave 应用程序开发以了解详细信息。
了解用于为虚拟机的 Intel SGX enclave 应用程序构建解决方案的开源工具。
为机密容器使用合作伙伴和开源工具。 还可以将其中一些工具用于 Azure Kubernetes 工作负载。