Doporučení k předběžnému čtení
Tento dokument je navržený tak, aby vám pomohl projít procesem výběru nabídky kontejnerů v důvěrném výpočetním prostředí Azure, který nejlépe vyhovuje vašim požadavkům na úlohy a stavu zabezpečení. Pokud chcete příručku maximálně využít, doporučujeme následující předčítávané soubory.
Rozhodovací matice služby Azure Compute
Seznamte se s celkovými nabídkami Azure Compute, abyste porozuměli širšímu kontextu, ve kterém funguje důvěrné výpočetní prostředí Azure.
Úvod do důvěrného výpočetního prostředí Azure
Azure Confidential Computing nabízí řešení, která umožňují izolaci citlivých dat během jejich zpracování v cloudu. Další informace o důvěrných výpočetních prostředcích Azure najdete v důvěrných výpočetních prostředcích Azure.
Attestation
Ověření identity je proces, který poskytuje záruky týkající se integrity a identity hardwarových a softwarových prostředí, ve kterých běží aplikace. Ověření identity v důvěrném computingu umožňuje ověřit, že vaše aplikace běží na důvěryhodném hardwaru a v důvěryhodném spouštěcím prostředí.
Další informace o ověření identity a službě Microsoft Azure Attestation v Azure
Definice izolace paměti
Při důvěrném computingu je izolace paměti důležitou funkcí, která chrání data během zpracování. Konsorcium důvěrného computingu definuje izolaci paměti takto:
"Izolace paměti je schopnost zabránit neoprávněnému přístupu k datům v paměti, i když útočník narušil operační systém nebo jiný privilegovaný software. Toho dosáhnete pomocí hardwarových funkcí k vytvoření zabezpečeného a izolovaného prostředí pro důvěrné úlohy.
Výběr nabídky kontejnerů v důvěrném výpočetním prostředí Azure
Azure Confidential Computing nabízí různá řešení pro nasazení a správu kontejnerů, která jsou přizpůsobená různým úrovním izolace a možností ověření identity.
Aktuální nastavení a provozní potřeby určují nejrelevavantnější cestu v tomto dokumentu. Pokud už využíváte službu Azure Kubernetes Service (AKS) nebo máte závislosti na rozhraních API Kubernetes, doporučujeme postupovat podle cest AKS. Pokud naopak přecházíte z nastavení virtuálního počítače a zajímá vás zkoumání bezserverových kontejnerů, měla by být zajímavá cesta ACI (Azure Container Instances).
Azure Kubernetes Service (AKS)
Důvěrné pracovní uzly virtuálních počítačů
- Ověření identity hosta: Možnost ověřit, že pracujete na důvěrném virtuálním počítači poskytovaném Azure.
- Izolace paměti: Izolace na úrovni virtuálního počítače s jedinečným šifrovacím klíčem paměti na virtuální počítač.
- Programovací model: Nula až minimální změny pro kontejnerizované aplikace. Podpora je omezená na kontejnery, které jsou založené na Linuxu (kontejnery využívající základní image Linuxu pro kontejner).
Další informace o tom, jak začít pracovat s pracovními uzly CVM s úlohou "lift and shift" do fondu uzlů CVM.
Důvěrné kontejnery v AKS
- Úplné ověření identity hosta: Umožňuje ověření plného důvěrného výpočetního prostředí včetně úlohy.
- Izolace paměti: Izolace na úrovni uzlu s jedinečným šifrovacím klíčem paměti na virtuální počítač.
- Programovací model: Nula až minimální změny kontejnerizovaných aplikací (kontejnery využívající základní image Linuxu pro kontejner).
- Ideální úlohy: Aplikace s citlivými zpracováními dat, výpočty s více stranami a požadavky na dodržování právních předpisů
Další informace najdete v důvěrných kontejnerech se službou Azure Kubernetes Service.
Důvěrné výpočetní uzly s Intel SGX
- Ověření identity enklávy aplikace: Umožňuje ověření spuštěného kontejneru ve scénářích, kdy virtuální počítač není důvěryhodný, ale pouze aplikace je důvěryhodná a zajišťuje zvýšenou úroveň zabezpečení a důvěryhodnosti v spouštěcím prostředí aplikace.
- Izolace: Izolace na úrovni procesu.
- Programovací model: Vyžaduje použití opensourcového operačního systému knihovny nebo řešení dodavatelů ke spouštění existujících kontejnerizovaných aplikací. Podpora je omezená na kontejnery, které jsou založené na Linuxu (kontejnery využívající základní image Linuxu pro kontejner).
- Ideální úlohy: Aplikace s vysokým zabezpečením, jako jsou systémy pro správu klíčů.
Další informace o nabídce a našich partnerských řešeních najdete tady.
Bezserverová architektura
Důvěrné kontejnery ve službě Azure Container Instances (ACI)
- Úplné ověření identity hosta: Umožňuje ověření plného důvěrného výpočetního prostředí včetně úlohy.
- Izolace: Izolace na úrovni skupiny kontejnerů s jedinečným šifrovacím klíčem paměti pro každou skupinu kontejnerů.
- Programovací model: Nula až minimální změny pro kontejnerizované aplikace. Podpora je omezená na kontejnery, které jsou založené na Linuxu (kontejnery využívající základní image Linuxu pro kontejner).
- Ideální úlohy: Rychlý vývoj a nasazení jednoduchých kontejnerizovaných úloh bez orchestrace Podpora pro shlukování z AKS pomocí virtuálních uzlů
Další podrobnosti najdete v článku Začínáme s důvěrnými kontejnery v ACI.
Další informace
Důvěrné virtuální počítače Intel SGX v důvěrných kontejnerech Azurev Azure