Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule przedstawiono sposób, w jaki poufne kontenery w usłudze Azure Container Instances (ACI) umożliwiają zabezpieczanie obciążeń działających w chmurze. Ten artykuł zawiera podstawowe informacje na temat zestawu funkcji, scenariuszy, ograniczeń i zasobów.
Poufne kontenery w usłudze Azure Container Instances umożliwiają klientom uruchamianie kontenerów systemu Linux w ramach opartego na sprzęcie i zaświadczanego zaufanego środowiska wykonawczego (TEE). Klienci mogą podnieść i zmienić konteneryzowane aplikacje systemu Linux lub tworzyć nowe poufne aplikacje obliczeniowe bez konieczności wdrażania wyspecjalizowanych modeli programowania w celu osiągnięcia korzyści poufności w TEE. Poufne kontenery w usłudze Azure Container Instances chronią dane w użyciu i szyfrują dane używane w pamięci. Usługa Azure Container Instances rozszerza tę funkcję za pomocą weryfikowalnych zasad wykonywania oraz weryfikowalnego sprzętowego źródła zaufania poprzez poświadczenie gościa.
Funkcje poufnych kontenerów w usłudze Azure Container Instances
Aplikacje przenoszone metodą "lift and shift"
Klienci mogą przenieść i przesunąć swoje konteneryzowane aplikacje systemu Linux lub budować nowe aplikacje do poufnego przetwarzania, bez konieczności wdrażania wyspecjalizowanych modeli programowania w celu uzyskania korzyści z poufności w TEE.
Oparte na sprzęcie zaufane środowisko wykonywania
Poufne kontenery w usłudze Azure Container Instances są wdrażane w grupie kontenerów z izolowanym Hyper-V TEE, który zawiera klucz szyfrowania pamięci generowany i zarządzany przez procesor amd SEV-SNP obsługujący. Dane używane w pamięci są szyfrowane przy użyciu tego klucza, aby zapewnić ochronę przed powtarzaniem, uszkodzeniem, ponownym mapowaniem i atakami opartymi na aliasach.
Weryfikowalne zasady wykonywania
Poufne kontenery w usłudze Azure Container Instances mogą działać przy użyciu weryfikowalnych zasad wykonywania, które umożliwiają klientom kontrolę nad tym, jakie oprogramowanie i akcje mogą być uruchamiane w środowisku TEE. Te zasady wykonywania pomagają chronić przed złymi aktorami tworzącymi nieoczekiwane modyfikacje aplikacji, które mogą potencjalnie wyciekać poufnych danych. Klienci tworzą polityki wykonawcze za pomocą dostarczonych narzędzi, a dowody kryptograficzne weryfikują te polityki.
Zdalna weryfikacja gościa
Poufne kontenery w usłudze ACI zapewniają obsługę zdalnego zaświadczania gościa, które jest używane do weryfikacji wiarygodności grupy kontenerów przed utworzeniem bezpiecznego kanału ze stroną polegającą. Grupy kontenerów mogą wygenerować raport atestacji sprzętu SNP, który jest podpisany przez sprzęt i zawiera informacje o sprzęcie i oprogramowaniu. Usługa zaświadczania Microsoft Azure może następnie zweryfikować to wygenerowane zaświadczenie sprzętowe za pośrednictwem aplikacji sidecar typu open source lub innej usługi zaświadczania, zanim jakiekolwiek poufne dane zostaną zwolnione do TEE.
Zasady wymuszania poufnego przetwarzania
Kontenery poufnych obsługują integralność i uwierzytelnianie na poziomie kontenera za pośrednictwem polityk egzekucji przetwarzania poufnego (CCE). Zasady wymuszania poufnego przetwarzania określają składniki, które mogą być uruchamiane w grupie kontenerów, które wymusza środowisko uruchomieniowe kontenera.
Azure CLI confcom rozszerzenie interfejsu wiersza polecenia
Rozszerzenie confcom interfejsu wiersza polecenia platformy Azure umożliwia klientom generowanie zasad wymuszania poufnego przetwarzania przy użyciu szablonu usługi ARM jako danych wejściowych i zapewnienie podstawowych zasad ciągu 64 jako danych wyjściowych. Te dane wyjściowe są zawarte w definicji grupy kontenerów, aby wymusić, które składniki mogą być uruchamiane. Aby uzyskać więcej informacji na temat tworzenia zasad wykonywania poufnych obliczeń, zobacz Rozszerzenie confcom interfejsu wiersza polecenia platformy Azure.
Bezpieczne uwolnienie klucza i zaszyfrowane moduły boczne systemu plików
Poufne kontenery w usłudze Azure Container Instances integrują się z dwoma przyczepkami typu open source w celu obsługi funkcji poufnych w grupie kontenerów. Te przyczepki i więcej informacji można znaleźć w repozytorium poufnych przyczepek.
Bezpieczny moduł do uwalniania kluczy
Kontenery poufne w usłudze Azure Container Instances zapewniają pomocniczy kontener open source na potrzeby zaświadczania i bezpiecznego wydania klucza. Usługa pomocnicza uruchamia serwer internetowy, który udostępnia interfejs API REST, aby inne kontenery mogły pobrać raport poświadczenia sprzętowego lub token poświadczenia platformy Microsoft Azure za pośrednictwem metody POST. Przyczepka integruje się z usługą Azure Key Vault w celu wydania klucza do grupy kontenerów po zakończeniu walidacji.
Zaszyfrowany dodatkowy moduł systemu plików
Poufne kontenery w usłudze Azure Container Instances zapewniają kontener pomocniczy do zamontowania zdalnego zaszyfrowanego systemu plików wcześniej przekazanego do usługi Azure Blob Storage. Kontener przyczepki w sposób niewidoczny pobiera zaświadczanie sprzętowe i łańcuch certyfikatów, który popiera klucz podpisywania zaświadczania. Następnie żąda zaświadczania platformy Microsoft Azure, aby autoryzować token zaświadczania, który jest wymagany do bezpiecznego zwolnienia klucza szyfrowania systemu plików z zarządzanego modułu HSM. Klucz jest zwalniany do kontenera przyczepki tylko wtedy, gdy oczekiwany urząd podpisał token zaświadczania i oświadczenia zaświadczania są zgodne z zasadami wydania klucza. Kontener sidecar w sposób przezroczysty używa klucza do zamontowania zdalnego zaszyfrowanego systemu plików; ten proces zachowuje poufność i integralność systemu plików przy każdej operacji wykonywanej z kontenera uruchomionego w grupie kontenerów.
Scenariusze
Czyszczenie danych na potrzeby wielopartyjnej analizy danych i trenowania uczenia maszynowego
Transakcje biznesowe i współpraca w projekcie często wymagają udostępniania poufnych danych między wieloma stronami. Te dane mogą obejmować dane osobowe, informacje finansowe i dokumentację medyczną, które muszą być chronione przed nieautoryzowanym dostępem. Poufne kontenery w usłudze Azure Container Instances zapewniają niezbędne funkcje (oparte na sprzęcie TEE, zdalne zaświadczanie) dla klientów w celu przetwarzania danych szkoleniowych z wielu źródeł bez ujawniania danych wejściowych innym stronom. Te funkcje umożliwiają organizacjom uzyskanie większej wartości z zestawów danych swoich lub partnerów przy zachowaniu kontroli nad dostępem do poufnych informacji. Ta oferta sprawia, że poufne kontenery w usłudze Azure Container Instances idealnie nadają się do scenariuszy analizy danych obejmujących wiele firm, takich jak poufne uczenie maszynowe.
Poufne wnioskowanie
Usługa ACI zapewnia szybkie i łatwe wdrożenia, elastyczną alokację zasobów i cennik płatności za użycie, co stanowi doskonałą platformę dla poufnych obciążeń wnioskowania. Dzięki poufnym kontenerom w usłudze Azure Container Instances deweloperzy modeli i właściciele danych mogą współpracować, chroniąc własność intelektualną dewelopera modelu i zachowując dane używane do wnioskowania bezpiecznego i prywatnego. Zapoznaj się z przykładowym wdrożeniem poufnego wnioskowania przy użyciu poufnych kontenerów w usłudze Azure Container Instances.
Nieobsługiwane scenariusze
- Rozszerzenie confcom dla Azure CLI musi wygenerować polityki egzekwowania obliczeń poufnych.
- Nie można ręcznie utworzyć zasad wymuszania poufnego przetwarzania.
Zasoby
- Rozszerzenie confcom interfejsu wiersza polecenia platformy Azure
- Poufne kontenery przyczepki
- Poufna aplikacja 'Hello World'
- Pokaz wnioskowania uczenia maszynowego
Następne kroki
- Aby zapoznać się z przykładem wdrożenia, zobacz Deploy a confidential container group with Azure Resource Manager (Wdrażanie poufnej grupy kontenerów za pomocą usługi Azure Resource Manager)