Vertrauliche Container auf Azure

Vertrauliche Container bieten eine Reihe von Features und Funktionen, mit denen Sie Ihre Standardcontainerworkloads weiter absichern können, um höhere Ansprüche an Datensicherheit, Datenschutz und Laufzeitcodeintegrität zu erfüllen. Vertrauliche Container werden in einem hardwaregestützten Trusted Execution Environment (TEE) ausgeführt, das integrierte Funktionen wie Datenintegrität, Datenvertraulichkeit und Codeintegrität bereitstellt. Azure bietet ein Portfolio von Funktionen über verschiedene vertrauliche Containerdienstoptionen, wie unten beschrieben.

Vorteile

Vertrauliche Container in Azure werden in einer enklavenbasierten TEE-Umgebung oder in VM-basierten TEE-Umgebungen ausgeführt. Beide Bereitstellungsmodelle helfen dabei, eine hohe Isolation und Speicherverschlüsselung durch hardwarebasierte Zusicherungen zu erzielen. Confidential Computing kann zu Ihrem Zero-Trust-Bereitstellungssicherheitsstatus in der Azure-Cloud beitragen, indem Ihr Arbeitsspeicher durch Verschlüsselung geschützt wird.

Nachfolgend sind die Eigenschaften vertraulicher Container aufgeführt:

• Ermöglichen das Ausführen vorhandener Standardcontainerimages ohne Codeänderungen (Lift-and-Shift) in einer TEE
• Möglichkeit zum Erweitern/Erstellen neuer Anwendungen, die Confidential Computing erkennen
• Möglichkeit der Remoteherausforderung der Laufzeitumgebung für kryptografische Nachweise, die abgeben, was nach Angaben des sicheren Prozessors initiiert wurde
• Starke Zusicherungen für Datenvertraulichkeit, Codeintegrität und Datenintegrität in einer Cloudumgebung mit hardwarebasierten Confidential Computing-Angeboten
• Hilft, Ihre Container von anderen Containergruppen/Pods sowie vom Betriebssystemkernel des VM-Knoten zu isolieren

VM-isolierte vertrauliche Container in Azure Container Instances (ACI)

Vertrauliche Container in ACI ermöglichen eine schnelle und einfache Bereitstellung von Containern in Azure mit der Möglichkeit, Daten und Code dank AMD EPYC™-Prozessoren mit Confidential Computing-Funktionen zu schützen. Der Grund ist, dass Ihre Container in einem hardwarebasierten und attestierten Trusted Execution Environment (TEE) ausgeführt werden, ohne Notwendigkeit eines speziellen Programmiermodells und ohne Infrastrukturverwaltungsaufwand. Mit dieser Produkteinführung erhalten Sie:

1. Vollständiger Gastnachweis, der die kryptografische Messung aller Hardware- und Softwarekomponenten widerspiegelt, die in Ihrer Trusted Computing Base (TCB) ausgeführt werden.
2. Tools zum Generieren von Richtlinien, die in der vertrauenswürdigen Ausführungsumgebung erzwungen werden.
3. Open-Source-Sidecarcontainer für sichere Schlüsselfreigabe und verschlüsselte Dateisysteme.

Vertrauliche Container in einer Intel SGX-Enklave über OSS oder Partnersoftware

Azure Kubernetes Service (AKS) unterstützt das Hinzufügen von Intel SGX Confidential Computing-VM-Knoten als Agentpools in einem Cluster. Auf diesen Knoten können Sie vertrauliche Workloads in einer hardwarebasierten TEE ausführen. In diesen Umgebungen können mit Code auf Benutzerebene aus Containern private Arbeitsspeicherregionen zugeordnet werden, um den Code direkt per CPU auszuführen. Diese privaten Arbeitsspeicherregionen, die direkt per CPU ausgeführt werden, werden als „Enclaves“ (Enklaven) bezeichnet. Enklaven tragen zum Schutz von Datenvertraulichkeit, Datenintegrität und Codeintegrität vor der Beeinträchtigung durch andere Prozesse, die auf denselben Knoten ausgeführt werden, sowie durch Azure-Operatoren bei. Mit dem Intel SGX-Ausführungsmodell werden auch die Zwischenschichten des Gastbetriebssystems, Hostbetriebssystems und von Hypervisor entfernt, um die Angriffsfläche zu verkleinern. Das Modell für die hardwarebasierte Ausführung mit containerspezifischer Isolierung auf einem Knoten ermöglicht Anwendungen die direkte Ausführung mit der CPU, während der spezielle Arbeitsspeicherblock pro Container verschlüsselt bleibt. Confidential Computing-Knoten mit vertraulichen Containern sind ein wertvoller Beitrag zu Ihrer Zero-Trust-Sicherheitsplanung und Strategie für die tiefgehende Verteidigung von Containern. Weitere Informationen zu dieser Funktion finden Sie hier.

Fragen?

Wenn Sie Fragen zu Containerangeboten haben, wenden Sie sich bitte an acconaks@microsoft.com.

Nächste Schritte

• Bereitstellen eines AKS-Clusters mit Vertraulichen Intel SGX-VM-Knoten
• Bereitstellen einer vertraulichen Containergruppe mit Azure Container Instances
• Microsoft Azure Attestation
• Intel SGX Vertrauliche Virtuelle Maschinen
• Azure Kubernetes Service (AKS)