共用方式為

建置機密運算解決方案

  • 發行項

Azure 機密運算提供各種選項來建置機密解決方案。 從啟用現有應用程式的「隨即轉移」案例,到完全控制各種安全性功能,都在選項範圍內。 這些功能包括存取層級的控制。 您可以將主機提供者或來賓操作員的存取層級設定為資料和程式碼。 您也可以控制其他 Rootkit 或惡意程式碼存取,這些存取可能會危害雲端中執行的工作負載完整性。

方案

安全記憶體保護區或機密虛擬機器等技術,可讓客戶選擇其想要在建置機密解決方案時採取的方法。

  • 無法存取原始程式碼的現有應用程式可能會受益於以 AMD SEV-SNP 技術為基礎的機密 VM,因而可以輕鬆上線至 Azure 機密運算平台。
  • 包含專屬程式碼以防範任何信任向量的複雜工作負載,可能會受益於安全的應用程式記憶體保護區技術。 Azure 目前會在以 Intel SGX 為基礎的 VM 中提供應用程式記憶體保護區。 Intel SGX 可保護在硬體加密記憶體空間中執行的資料和程式碼。 這些應用程式通常需要與通過證明的安全記憶體保護區通訊,此安全記憶體保護區是使用開放原始碼架構取得的。
  • 在 Azure Kubernetes Service 中啟用的機密容器上執行的容器化解決方案,可能適合尋找機密性平衡方法的客戶。 在這些案例中,現有的應用程式可以封裝並部署在變更受限的容器中,但仍提供與雲端服務提供者和管理員的完整安全性隔離。

Screenshot of the confidential computing spectrum, showing easier options to options with most security control.

深入了解

若要使用記憶體保護區和隔離環境的強大功能,您必須使用可支援機密運算的工具。 有各種工具可支援記憶體保護區應用程式開發。 如需詳細資訊,請閱讀記憶體保護區應用程式開發

了解開放原始碼工具,這些工具用於建置解決方案,以供適用於虛擬機器的 Intel SGX 記憶體保護區應用程式使用。

針對機密容器使用合作夥伴和開放原始碼工具。 您也可以針對 Azure Kubernetes 工作負載使用其中一些工具。

下一步