機密容器提供強大的解決方案來保護雲端環境內的敏感數據。 透過使用硬體型信任執行環境 (TEE),機密容器會在主機系統內提供安全記憶體保護區,將應用程式和其數據與潛在威脅隔離。 此隔離可確保即使主機系統遭到入侵,機密數據仍會受到保護。
本文說明使用機密容器來保護敏感數據的優點,並說明機密容器如何在 Azure Red Hat OpenShift 內運作。
使用機密容器的優點
機密容器提供數個主要優點:
增強的數據安全性:藉由隔離應用程式及其數據在安全記憶體保護區內,機密容器會保護機密資訊免於未經授權的存取,即使主機系統遭到入侵也一樣。
法規合規性:醫療保健、金融和政府等產業受限於嚴格的數據隱私權法規。 機密容器可藉由提供保護敏感數據的健全機制,協助組織符合這些合規性需求。
改善信任與信賴:機密容器可藉由示範數據安全性和隱私權的承諾,促進雲端服務提供者與其客戶之間的信任。
降低數據外泄的風險:使用機密容器可以大幅降低數據外泄的風險,這可能會對組織造成毀滅性後果。
提升效率:機密容器可以藉由提供安全且有效率的環境來執行敏感性工作負載,來簡化應用程式的開發和部署。
一般使用案例
下表描述部署機密容器最常見的使用案例。
| 用例 | 工業 | 範例 |
|---|---|---|
|
法規合規性 符合嚴格的數據保護和隱私權法規。 |
政府、財務、醫療保健 | 使用機密容器處理和儲存病患數據的醫療保健提供者,以符合 HIPAA 法規。 |
|
多租用戶環境 以強式隔離裝載多個用戶端的應用程式和數據。 |
SaaS 提供者、雲端服務提供者 | 雲端服務提供者為相同基礎結構內的不同用戶端提供隔離的環境。 |
|
安全 AI/ML 模型定型 在敏感數據上定型 AI 模型,而不公開數據。 |
AI/ML,任何使用 AI 敏感數據的產業 | 金融機構會針對客戶交易數據定型詐騙偵測模型。 |
機密容器的運作方式
機密容器是 Red Hat OpenShift 沙箱化容器的功能,可提供隔離的環境來執行容器化應用程式。 機密容器的核心是機密虛擬機 (CVM)。 此特製化虛擬機會在信任的執行環境 (TEE) 內運作,為應用程式和其相關聯的數據建立安全記憶體保護區。 TEE,以硬體為基礎的隔離環境強化了增強的安全性功能,可確保即使主機系統遭到入侵,CVM 內的數據仍會受到保護。
Azure Red Hat OpenShift 可作為協調器,透過虛擬機使用率來監督工作負載(Pod) 的沙盒化。 使用 CVM 時,Azure Red Hat OpenShift 可為您的工作負載提供機密容器功能。 建立機密容器工作負載之後,Azure Red Hat OpenShift 會在 TEE 內執行的 CVM 內部署它,為您的敏感數據提供安全且隔離的環境。
此圖顯示在 ARO 叢集上使用機密容器的三個主要步驟:
- OpenShift 沙盒化容器作員會部署在 ARO 叢集上。
- ARO 背景工作節點上的 Kata 運行時間容器會使用 cloud-api-adapter 在機密 VM 上建立對等 Pod。
- 對等 Pod 上的遠端證明代理程式會在卡塔代理程式部署容器映射之前起始容器映像的證明,以確保映射的完整性。
證明
證明構成機密容器的基本元件,特別是在零信任安全性的內容中。 在將工作負載部署為機密容器工作負載之前,請務必確認執行工作負載之 TEE 的可信度。 證明可確保 TEE 確實安全,並具備保護機密數據的能力。
受託人專案
受託人專案提供機密容器所需的證明功能。 它會執行證明作業,並在驗證成功后將秘密傳遞至 TEE。 受託人的主要元件包括:
受託人代理程式:這些元件會在 CVM 內運作,包括負責傳輸辨識項的證明代理程式(AA),以證明環境的可信度。
Key Broker 服務 (KBS):此服務可作為遠端證明的進入點,將辨識項轉送至證明服務 (AS) 以進行驗證。
證明服務 (AS):此服務會驗證 TEE 辨識項。
機密計算證明運算符
機密計算證明作員是 Azure Red Hat OpenShift 機密容器解決方案不可或缺的元件,可協助部署和管理 Azure Red Hat OpenShift 叢集中的受託人服務。 其可簡化受託人服務的設定,以及機密容器工作負載的秘密管理。
整合檢視方塊
典型的機密容器部署牽涉到 Azure Red Hat OpenShift 使用部署在個別信任環境中部署的機密計算證明作員。 工作負載會在 TEE 內的 CVM 內執行,受益於 TEE 所提供的加密記憶體和完整性保證。 位於 CVM 內的受託人代理程式會執行證明並取得必要的秘密,以保護數據的安全性和機密性。
後續步驟
既然您已了解機密容器的優點和各種使用案例,請參閱 在 Azure Red Hat OpenShift (ARO) 叢集中部署機密容器。