Önceden Okunan Öneriler
Bu belge, Azure Gizli Bilgi İşlem'de iş yükü gereksinimlerinize ve güvenlik duruşunuza en uygun kapsayıcı teklifini seçme sürecinde yol göstermenize yardımcı olmak için tasarlanmıştır. Kılavuzdan en iyi şekilde emin olmak için aşağıdaki ön okumaları öneririz.
Azure İşlem Karar Matrisi
Azure Gizli Bilgi İşlem'in çalıştığı daha geniş bağlamı anlamak için genel Azure İşlem teklifleri hakkında bilgi edinin.
Azure Gizli Bilgi İşlem'e giriş
Azure Gizli Bilgi İşlem, hassas verilerinizin bulutta işlenirken yalıtılmasını sağlayan çözümler sunar. Gizli bilgi işlem Azure gizli bilgi işlem hakkında daha fazla bilgi edinebilirsiniz.
Kanıtlama
Kanıtlama, uygulamaların çalıştırıldığı donanım ve yazılım ortamlarının bütünlüğü ve kimliği hakkında güvence sağlayan bir süreçtir. Gizli Bilgi İşlem'de kanıtlama, uygulamalarınızın güvenilir donanımda ve güvenilir bir yürütme ortamında çalıştığını doğrulamanıza olanak tanır.
Azure'da Kanıtlama bölümünde kanıtlama ve Microsoft Azure Doğrulama hizmeti hakkında daha fazla bilgi edinin
Bellek yalıtımının tanımı
Gizli bilgi işlemde bellek yalıtımı, işleme sırasında verileri koruyan kritik bir özelliktir. Gizli Bilgi İşlem Konsorsiyumu bellek yalıtımını şu şekilde tanımlar:
"Bellek yalıtımı, saldırgan işletim sistemini veya diğer ayrıcalıklı yazılımları tehlikeye atmış olsa bile bellekteki verilere yetkisiz erişimi önleme özelliğidir. Bu, gizli iş yükü için güvenli ve yalıtılmış bir ortam oluşturmak için donanım tabanlı özellikler kullanılarak elde edilir."
Azure Gizli Bilgi İşlem'de Kapsayıcı teklifi seçme
Azure Gizli Bilgi İşlem, her biri farklı yalıtım ve kanıtlama özellikleri için uyarlanmış kapsayıcı dağıtımı ve yönetimi için çeşitli çözümler sunar.
Geçerli kurulum ve işlem gereksinimleriniz, bu belge aracılığıyla en uygun yolu belirler. Azure Kubernetes Service'i (AKS) zaten kullanıyorsanız veya Kubernetes API'lerine bağımlılıklarınız varsa AKS yollarını izlemenizi öneririz. Öte yandan, sanal makine kurulumundan geçiş yapıp sunucusuz kapsayıcıları keşfetmek istiyorsanız, ACI (Azure Container Instances) yolu ilginizi çekmelidir.
Azure Kubernetes Service (AKS)
Gizli VM Çalışan Düğümleri
- Konuk Kanıtlama: Azure tarafından sağlanan gizli bir sanal makinede çalıştığını doğrulama özelliği.
- Bellek Yalıtımı: VM başına benzersiz bellek şifreleme anahtarıyla VM düzeyinde yalıtım.
- Programlama modeli: Kapsayıcılı uygulamalar için sıfırdan en az değişikliğe kadar. Destek, Linux tabanlı kapsayıcılar (kapsayıcı için Linux temel görüntüsü kullanan kapsayıcılar) ile sınırlıdır.
Bir lift and shift iş yüküyle CVM çalışan düğümlerini kullanmaya başlama hakkında daha fazla bilgi bulabilirsiniz.
AKS'de Gizli Kapsayıcılar
- Tam Konuk Kanıtlama: İş yükü dahil olmak üzere tam gizli bilgi işlem ortamının kanıtlamasını sağlar.
- Bellek Yalıtımı: VM başına benzersiz bir bellek şifreleme anahtarıyla düğüm düzeyinde yalıtım.
- Programlama modeli: Kapsayıcılı uygulamalar için sıfırdan en az değişikliğe (kapsayıcı için Linux temel görüntüsü kullanan kapsayıcılar).
- İdeal İş Yükleri: Hassas veri işleme, çok taraflı hesaplamalar ve mevzuat uyumluluğu gereksinimleri olan uygulamalar.
Daha fazla bilgi için bkz. Azure Kubernetes Service ile Gizli Kapsayıcılar.
Intel SGX ile Gizli Bilgi İşlem Düğümleri
- Uygulama kapanım Kanıtlaması: VM'ye güvenilmemesine rağmen yalnızca uygulamaya güvenildiği senaryolarda çalışan kapsayıcının kanıtlamasını etkinleştirir ve uygulamanın yürütme ortamında güvenlik ve güven düzeyinin daha yüksek olmasını sağlar.
- Yalıtım: İşlem düzeyi yalıtımı.
- Programlama modeli: Mevcut kapsayıcılı uygulamaları çalıştırmak için açık kaynak kitaplık işletim sistemi veya satıcı çözümlerinin kullanılmasını gerektirir. Destek, Linux tabanlı kapsayıcılar (kapsayıcı için Linux temel görüntüsü kullanan kapsayıcılar) ile sınırlıdır.
- İdeal İş Yükleri: Anahtar yönetim sistemleri gibi yüksek güvenlikli uygulamalar.
Teklif ve iş ortağı çözümlerimiz hakkında daha fazla bilgiyi burada bulabilirsiniz.
Sunucusuz
Azure Container Instances'ta (ACI) Gizli Kapsayıcılar
- Tam Konuk Kanıtlama: İş yükü dahil olmak üzere tam gizli bilgi işlem ortamının kanıtlamasını sağlar.
- Yalıtım: Kapsayıcı grubu başına benzersiz bir bellek şifreleme anahtarıyla kapsayıcı grubu düzeyinde yalıtım.
- Programlama modeli: Kapsayıcılı uygulamalar için sıfırdan en az değişikliğe kadar. Destek, Linux tabanlı kapsayıcılar (kapsayıcı için Linux temel görüntüsü kullanan kapsayıcılar) ile sınırlıdır.
- İdeal İş Yükleri: Basit kapsayıcılı iş yüklerinin düzenleme olmadan hızlı bir şekilde geliştirilmesi ve dağıtımı. Sanal Düğümler kullanılarak AKS'den veri bloğu desteği.
Daha fazla ayrıntı için bkz. ACI'da Gizli Kapsayıcıları Kullanmaya Başlama.
Daha fazla bilgi edinin
Azure'da AzureGizli Kapsayıcılar üzerinde Intel SGX Gizli Sanal Makineler