Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Анклав — это защищенная область памяти, которая обеспечивает конфиденциальность данных и выполнения кода. Это экземпляр доверенной среды выполнения (TEE), защищенной оборудованием. Для поддержки виртуальных машин для конфиденциальных вычислений на AKS используется расширение Intel Software Guard (SGX) для создания изолированных сред анклавов в узлах между каждым приложением-контейнером.
Аналогично виртуальным машинам Intel SGX, приложения-контейнеры, разработанные для запуска в анклавах, имеют два компонента:
- ненадежный компонент (называемый хостом);
- доверенный компонент (анклав).
Архитектура приложений-контейнеров с поддержкой анклавов обеспечивает наибольший контроль над реализацией и поддерживает занимаемый кодом объем памяти в анклаве на низком уровне. Уменьшение объема кода, выполняемого в анклаве, помогает сократить площадь потенциальной атаки.
Способствующие факторы
Открыть пакет SDK для Enclave
Open Enclave SDK — это аппаратно-не зависящая от оборудования библиотека с открытым кодом для разработки приложений C, C++ с использованием аппаратных доверенных сред выполнения. Текущая реализация обеспечивает поддержку Intel SGX, а также предварительной версии ОС OP-TEE в Arm TrustZone.
Начните работу с приложением-контейнером на основе Open Enclave, выполнив действия, описанные здесь.
Пакет SDK Intel SGX
Intel поддерживает комплект средств разработки программного обеспечения для создания приложений SGX для контейнерных рабочих нагрузок на Linux и Windows. Контейнеры Windows в настоящее время не поддерживаются узлами конфиденциальных вычислений AKS.
Начните работу с приложениями на основе Intel SGX, выполнив действия, описанные здесь.
Confidential Consortium Framework (CCF)
Платформа консорциума конфиденциальных вычислений (CCF) — это платформа с открытым кодом для создания категории безопасных, высокодоступных и производительных приложений для вычислительных ресурсов и данных с несколькими участниками. Платформа CCF может включать высокомасштабируемые конфиденциальные сети, отвечающие ключевым требованиям предприятий, предоставляя средства для ускорения внедрения и использования консорциумных блокчейн-систем и технологии распределенных вычислений с несколькими участниками.
Начните работу с конфиденциальными вычислениями Azure и CCF, выполнив действия, описанные здесь.
Среда выполнения ONNX для конфиденциального вывода данных
Среда выполнения ONNX на основе анклавов с открытым кодом устанавливает защищенный канал между клиентом и службой вывода, чтобы ни запрос, ни ответ не могли оказаться за пределами безопасного анклава.
Это решение позволяет использовать существующую обученную модель машинного обучения и выполнять ее конфиденциально, создавая отношения доверия между клиентом и сервером с помощью аттестации и проверки.
Начните работу по миграции модели машинного обучения методом lift-and-shift в среду выполнения ONNX, выполнив действия, описанные здесь.
EGo
Пакет SDK EGo с открытым исходным кодом обеспечивает поддержку языка программирования Go в анклавах. EGo создается на основе пакета Open Enclave SDK. Он призван сделать создание конфиденциальных микрослужб проще. Чтобы развернуть службу на базе EGo в AKS, выполните инструкции из этого пошагового руководства.
Примеры реализации на основе контейнеров
Примеры Azure для контейнеров с поддержкой анклавов в AKS
Развертывание кластера AKS с узлами виртуальных машин Intel SGX для конфиденциальных вычислений
Виртуальная машина Intel SGX для конфиденциальных вычислений в AzureКонфиденциальные контейнеры