Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Этот документ предназначен для того, чтобы провести вас через процесс выбора предложения контейнера в области Конфиденциальных вычислений на платформе Azure, который лучше всего соответствует вашим требованиям к рабочей нагрузке и позиции по безопасности. Чтобы максимально использовать руководство, мы рекомендуем ознакомиться со следующими рекомендованными предварительными материалами.
Матрица принятия решений для вычислительных услуг Azure
Ознакомьтесь с сервисами Azure Compute, чтобы понять более широкий контекст, в котором функционируют конфиденциальные вычисления Azure.
Общие сведения о конфиденциальных вычислениях Azure
Azure Confidential Computing предлагает решения, обеспечивающие изоляцию ваших конфиденциальных данных во время их обработки в облаке. Подробнее о конфиденциальных вычислениях можно узнать в разделе Azure confidential computing.
Аттестация
Аттестация — это процесс, обеспечивающий гарантии целостности и идентификации аппаратных и программных сред, в которых выполняются приложения. В конфиденциальных вычислениях аттестация позволяет убедиться, что приложения работают на доверенном оборудовании и в доверенной среде выполнения.
Дополнительные сведения об аттестации и службе аттестации Microsoft Azure в Azure
Определение изоляции памяти
В конфиденциальных вычислениях изоляция памяти является важной функцией, которая защищает данные во время обработки. Консорциум конфиденциальных вычислений определяет изоляцию памяти следующим образом:
"Изоляция памяти — это возможность предотвратить несанкционированный доступ к данным в памяти, даже если злоумышленник скомпрометировал операционную систему или другое привилегированное программное обеспечение. Это достигается с помощью аппаратных функций для создания безопасной и изолированной среды для конфиденциальной рабочей нагрузки".
Выбор контейнерного предложения в рамках конфиденциальных вычислений Azure
Конфиденциальные вычисления Azure предлагают различные решения для развертывания и управления контейнерами, адаптированные для различных уровней изоляции и аттестации.
Текущие требования к настройке и эксплуатации определяют наиболее подходящий путь к этому документу. Если вы уже используете Служба Azure Kubernetes (AKS) или имеете зависимости от API Kubernetes, рекомендуется следовать путям AKS. С другой стороны, если вы переходите от использования виртуальных машин и заинтересованы в изучении бессерверных контейнеров, путь ACI (Экземпляры контейнеров Azure) может быть вам интересен.
Служба Azure Kubernetes (AKS)
Конфиденциальные рабочие узлы виртуальной машины
- Аттестация гостей: Возможность проверить, работаете ли вы на виртуальной машине с конфиденциальностью, предоставляемой Azure.
- Изоляция памяти: изоляция уровня виртуальной машины с уникальным ключом шифрования памяти для каждой виртуальной машины.
- Модель программирования: ноль до минимальных изменений для контейнерных приложений. Поддержка ограничена контейнерами, которые основаны на Linux (контейнеры с использованием базового образа Linux для контейнера).
Дополнительные сведения о начале работы с рабочими узлами CVM и переносе рабочей нагрузки в пул узлов CVM можно найти здесь.
Конфиденциальные контейнеры в AKS
- Полная аттестация гостей: Позволяет проводить аттестацию полной конфиденциальной вычислительной среды, включая рабочую нагрузку.
- Изоляция памяти. Изоляция на уровне узла с уникальным ключом шифрования памяти на виртуальную машину.
- Модель программирования: ноль до минимальных изменений для контейнерных приложений (контейнеров с использованием базового образа Linux для контейнера).
- Идеальные рабочие нагрузки: приложения с обработкой конфиденциальных данных, многопользовательскими вычислениями и требованиями соответствия нормативным требованиям.
Дополнительные сведения см. в Конфиденциальные контейнеры со Службой Azure Kubernetes.
Узлы конфиденциальных вычислений с intel SGX
- Аттестация анклавов приложений: включает аттестацию запущенного контейнера в сценариях, когда виртуальная машина не является доверенной, но только приложение является доверенным, обеспечивая повышенный уровень безопасности и доверия в среде выполнения приложения.
- Изоляция: изоляция на уровне процесса.
- Модель программирования. Требуется использование ОС библиотеки с открытым кодом или решений поставщика для запуска существующих контейнерных приложений. Поддержка ограничена контейнерами, которые основаны на Linux (контейнеры с использованием базового образа Linux для контейнера).
- Идеальные рабочие нагрузки: высокобезопасные приложения, такие как системы управления ключами.
Дополнительные сведения о предложении и наших партнерских решениях см. здесь.
Бессерверные технологии
Конфиденциальные контейнеры на Azure Container Instances (ACI)
- Полная аттестация гостей: Позволяет проводить аттестацию полной конфиденциальной вычислительной среды, включая рабочую нагрузку.
- Изоляция: изоляция уровня группы контейнеров с уникальным ключом шифрования памяти для каждой группы контейнеров.
- Модель программирования: ноль до минимальных изменений для контейнерных приложений. Поддержка ограничена контейнерами, которые основаны на Linux (контейнеры с использованием базового образа Linux для контейнера).
- Идеальные рабочие нагрузки: быстрая разработка и развертывание простых контейнерных нагрузок без оркестрации. Поддержка масштабирования из AKS с помощью виртуальных узлов.
Дополнительные сведения см. в статье "Начало работы с конфиденциальными контейнерами" в ACI.
Подробнее
Конфиденциальные виртуальные машины Intel SGX на AzureКонфиденциальные контейнеры на Azure