Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Kontenery poufne oferują niezawodne rozwiązanie do ochrony poufnych danych w środowiskach chmury. Dzięki użyciu opartych na sprzęcie zaufanych środowisk wykonywania (TEEs) kontenery poufne zapewniają bezpieczną enklawę w systemie hosta, izolując aplikacje i ich dane przed potencjalnymi zagrożeniami. Ta izolacja gwarantuje, że nawet jeśli system hosta zostanie naruszony, poufne dane pozostają chronione.
W tym artykule opisano zalety używania kontenerów poufnych do ochrony poufnych danych i wyjaśniono, jak działają poufne kontenery w usłudze Azure Red Hat OpenShift.
Zalety korzystania z kontenerów poufnych
Kontenery poufne oferują kilka kluczowych korzyści:
Zwiększone zabezpieczenia danych: dzięki izolowaniu aplikacji i ich danych w bezpiecznej enklawie poufne kontenery chronią poufne informacje przed nieautoryzowanym dostępem, nawet jeśli system hosta zostanie naruszony.
Zgodność z przepisami: Branże takie jak opieka zdrowotna, finanse i instytucje rządowe podlegają rygorystycznym przepisom dotyczącym prywatności danych. Poufne kontenery mogą pomóc organizacjom spełnić te wymagania dotyczące zgodności, zapewniając niezawodny mechanizm ochrony poufnych danych.
Ulepszone zaufanie i zaufanie: Poufne kontenery mogą wspierać zaufanie między dostawcami usług w chmurze a ich klientami, wykazując zaangażowanie w bezpieczeństwo danych i prywatność.
Ograniczone ryzyko naruszeń danych: korzystanie z kontenerów poufnych może znacznie zmniejszyć ryzyko naruszeń danych, co może mieć katastrofalne konsekwencje dla organizacji.
Zwiększona wydajność: Kontenery poufne mogą usprawnić tworzenie i wdrażanie aplikacji, zapewniając bezpieczne i wydajne środowisko do uruchamiania wrażliwych obciążeń.
Typowe przypadki użycia
W poniższej tabeli opisano najczęstsze przypadki użycia wdrażania kontenerów poufnych.
| Przypadek użycia | Przemysł | Przykład |
|---|---|---|
|
Zgodność regulatora Spełnianie rygorystycznych przepisów dotyczących ochrony danych i prywatności. |
Instytucje rządowe, Finanse, Opieka zdrowotna | Dostawca opieki zdrowotnej korzystający z kontenerów poufnych do przetwarzania i przechowywania danych pacjentów zgodnie z przepisami HIPAA. |
|
Środowiska wielodostępne Hostowanie aplikacji i danych wielu klientów z silną izolacją. |
Dostawcy SaaS, dostawcy usług w chmurze | Dostawca usług w chmurze oferuje izolowane środowiska dla różnych klientów w ramach tej samej infrastruktury. |
|
Bezpieczne trenowanie modeli sztucznej inteligencji/uczenia maszynowego Trenowanie modeli sztucznej inteligencji na danych poufnych bez ujawniania danych. |
Sztuczna inteligencja/uczenie maszynowe, dowolna branża korzystająca z poufnych danych dla sztucznej inteligencji | Instytucje finansowe szkolą modele wykrywania oszustw na danych transakcji klientów. |
Jak działają poufne kontenery
Poufne kontenery to funkcja kontenerów w trybie piaskownicy Red Hat OpenShift, która zapewnia izolowane środowisko do uruchamiania konteneryzowanych aplikacji. Podstawowym elementem kontenerów poufnych jest poufne maszyny wirtualnej (CVM). Ta wyspecjalizowana maszyna wirtualna działająca w zaufanym środowisku wykonywania (TEE) ustanawia bezpieczną enklawę dla aplikacji i skojarzonych z nimi danych. TeEs, oparte na sprzęcie izolowane środowiska wzmocnione rozszerzonymi funkcjami zabezpieczeń, zapewniają, że nawet jeśli system hosta zostanie naruszony, dane znajdujące się w CVM pozostają chronione.
Usługa Azure Red Hat OpenShift służy jako koordynator, nadzorując piaskownicę obciążeń (zasobników) za pośrednictwem wykorzystania maszyn wirtualnych. W przypadku zatrudniania cvMs usługa Azure Red Hat OpenShift umożliwia obsługę funkcji poufnego kontenera dla obciążeń. Po utworzeniu obciążenia Poufne kontenery usługa Azure Red Hat OpenShift wdraża je w narzędziu CVM wykonywanym w środowisku TEE, zapewniając bezpieczne i izolowane środowisko dla poufnych danych.
Diagram przedstawia trzy główne kroki używania kontenerów poufnych w klastrze:
- Operator OpenShift Sandboxed Containers jest wdrażany w klastrze.
- Kontener środowiska uruchomieniowego kata w węźle roboczym używa adaptera cloud-api-adapter do tworzenia zasobnika równorzędnego na poufnej maszynie wirtualnej.
- Zdalny agent zaświadczania na zasobniku równorzędnym inicjuje zaświadczanie obrazu kontenera przed wdrożeniem go przez agenta kata, zapewniając integralność obrazu.
Zaświadczanie
Zaświadczenie stanowi podstawowy składnik poufnych kontenerów, szczególnie w kontekście zabezpieczeń zerowych zaufania. Przed wdrożeniem obciążenia jako obciążenia Poufne kontenery należy sprawdzić wiarygodność środowiska TEE, w którym jest wykonywane obciążenie. Zaświadczenie zapewnia, że teE jest rzeczywiście bezpieczne i posiada możliwość ochrony poufnych danych.
Projekt trustee
Projekt Trustee zapewnia funkcje zaświadczania niezbędne dla kontenerów poufnych. Wykonuje operacje zaświadczania i dostarcza wpisy tajne do tee po pomyślnej weryfikacji. Kluczowe składniki trustee obejmują:
Agenci powiernicy: te składniki działają w cvM, w tym agent zaświadczania (AA) odpowiedzialny za przesyłanie dowodów w celu uzasadnienia wiarygodności środowiska.
Usługa brokera kluczy (KBS): ta usługa działa jako punkt wejścia na potrzeby zdalnego zaświadczania, przekazując dowody do usługi zaświadczania (AS) w celu weryfikacji.
Usługa zaświadczania (AS): ta usługa weryfikuje dowody TEE.
Operator zaświadczania poufnego obliczeniowego
Operator zaświadczania poufnego obliczeniowego, integralny składnik rozwiązania Azure Red Hat OpenShift Confidential Containers, ułatwia wdrażanie usług trustee i zarządzanie nimi w klastrze Usługi Azure Red Hat OpenShift. Usprawnia ona konfigurację usług trustee i zarządzanie wpisami tajnymi dla obciążeń Kontenery poufne.
Ujednolicona perspektywa
Typowe wdrożenie kontenerów poufnych obejmuje usługę Azure Red Hat OpenShift pracującą z operatorem zaświadczania poufnego obliczeniowego wdrożonym w osobnym, zaufanym środowisku. Obciążenie jest wykonywane w ramach cvM działającego wewnątrz teE, korzystając z zaszyfrowanej pamięci i gwarancji integralności dostarczonych przez TEE. Agenci powiernicy znajdujący się w CVM wykonują zaświadczanie i uzyskiwanie wymaganych wpisów tajnych, zabezpieczając bezpieczeństwo i poufność danych.
Treści powiązane
- Aby dowiedzieć się więcej o usłudze Azure Red Hat OpenShift, zobacz About Azure Red Hat OpenShift (Informacje o usłudze Azure Red Hat OpenShift).
- Aby utworzyć klaster usługi Azure Red Hat OpenShift, zobacz Szybki start: tworzenie klastra usługi Azure Red Hat OpenShift 4.