Конфиденциальные контейнеры в Azure

Конфиденциальные контейнеры предоставляют набор функций и возможностей для дальнейшего обеспечения безопасности стандартных рабочих нагрузок контейнеров, чтобы обеспечить более высокую безопасность данных, конфиденциальность данных и цели целостности кода среды выполнения. Конфиденциальные контейнеры выполняются в аппаратной поддерживаемой доверенной среде выполнения (TEE), которая обеспечивает встроенные возможности, такие как целостность данных, конфиденциальность данных и целостность кода. Azure предлагает портфель возможностей с помощью различных параметров службы конфиденциальных контейнеров, как описано ниже.

Льготы

Конфиденциальные контейнеры в Azure выполняются в анклавных TEE или в средах TEE на основе виртуальной машины. Обе модели развертывания помогают обеспечить высокую изоляцию и шифрование памяти с помощью аппаратных гарантий. Конфиденциальные вычисления могут помочь вам с обеспечением безопасности в архитектуре нулевого доверия, защищая пространство памяти с помощью шифрования в облаке Azure.

Ниже приведены качества конфиденциальных контейнеров:

• Позволяет запускать существующие стандартные образы контейнеров без изменений кода (lift-and-shift) в TEE
• Возможность расширения и создания новых приложений с осведомленностью о конфиденциальных вычислениях
• Позволяет удаленно проверять среду выполнения для криптографического подтверждения, которое сообщает, что было инициировано согласно отчету защищенного процессора.
• Обеспечивает надежные гарантии конфиденциальности данных, целостности кода и целостности данных в облачной среде с предложениями конфиденциальных вычислений на основе оборудования
• Помогает изолировать ваши контейнеры от других групп контейнеров или подов, а также от ядра операционной системы узла виртуальной машины.

Изолированные конфиденциальные контейнеры ВМ в Azure Container Instances (ACI)

Конфиденциальные контейнеры в ACI позволяют быстро и легко развертывать контейнеры в Azure, при этом защищая данные и код во время использования благодаря процессорам AMD EPYC™ с возможностями конфиденциальных вычислений. Это связано с тем, что контейнеры выполняются в аппаратной и проверенной доверенной среде выполнения (TEE) без необходимости внедрять специализированную модель программирования и без затрат на управление инфраструктурой. С помощью этого запуска вы получите следующее:

1. Полная аттестация гостей, которая отражает криптографическое измерение всех аппаратных и программных компонентов, работающих в базе доверенных вычислений (TCB).
2. Инструмент для создания политик, которые будут применяться в доверенной среде выполнения.
3. Контейнеры-сайдкары с открытым исходным кодом для безопасного выпуска ключей и зашифрованных файловых систем.

Конфиденциальные контейнеры внутри анклава Intel SGX через ПО с открытым исходным кодом или программное обеспечение партнеров

Служба Azure Kubernetes (AKS) поддерживает добавление узлов виртуальных машин с Intel SGX для конфиденциальных вычислений в качестве пулов агентов в кластере. Эти узлы позволяют выполнять конфиденциальные рабочие нагрузки в аппаратном TEE. TEEs позволяют пользовательскому коду из контейнеров выделять частные участки памяти для непосредственного выполнения кода на ЦП. Эти части памяти, которые выполняются напрямую с ЦП, называются анклавами. Анклавы помогают защитить конфиденциальность данных, целостность данных и целостность кода от других процессов, выполняемых на том же узле, а также оператора Azure. Модель выполнения Intel SGX также удаляет промежуточные уровни гостевой ОС, хостовой ОС и гипервизора, тем самым уменьшая атакуемую поверхность. Использование модели выполнения на основе оборудования с изоляцией для каждого контейнера в узле позволяет приложениям напрямую выполнять задачи с использованием ЦП, поддерживая при этом специальный блок памяти зашифрованным для каждого контейнера. Узлы конфиденциальных вычислений с конфиденциальными контейнерами — это отличное дополнение к вашей стратегии без доверия, планированию безопасности и глубокой защите контейнеров. Дополнительные сведения об этой возможности см. здесь

Вопросы?

Если у вас есть вопросы о предложениях по контейнерам, обратитесь к [email protected].

Следующие шаги

• Развертывание кластера AKS с узлами виртуальных машин Intel SGX для конфиденциальных вычислений
• Развертывание конфиденциальной группы контейнеров с помощью Azure Container Instances
• Аттестация Microsoft Azure
• Конфиденциальные виртуальные машины Intel SGX
• Служба Azure Kubernetes (AKS)