مشاركة عبر

الحاويات السرية على موقع Azure

  • مقالة

توفر الحاويات السرية مجموعة من الميزات والقدرات لزيادة تأمين أحمال عمل الحاوية القياسية لتحقيق أمان أعلى للبيانات وخصوصية البيانات وأهداف تكامل رمز وقت التشغيل. تعمل الحاويات السرية في بيئة تنفيذ موثوق بها مدعومة من الأجهزة (TEE) توفر قدرات جوهرية مثل تكامل البيانات وسرية البيانات وتكامل التعليمات البرمجية. يقدم Azure مجموعة من القدرات من خلال خيارات خدمة حاوية سرية مختلفة كما هو موضح أدناه.

المزايا

تعمل الحاويات السرية على Azure داخل بيئات TEE أو VM المستندة إلى الجيب. يساعد كلا نموذجي التوزيع على تحقيق عزل عال وتشفير الذاكرة من خلال الضمانات المستندة إلى الأجهزة. يمكن أن تساعدك الحوسبة السرية في وضع أمان نشر الثقة المعدومة في سحابة Azure عن طريق حماية مساحة الذاكرة الخاصة بك من خلال التشفير.

فيما يلي صفات الحاويات السرية:

  • يسمح بتشغيل صور الحاوية القياسية الحالية دون أي تغييرات في التعليمات البرمجية (الرفع والإزاحة) داخل TEE
  • القدرة على توسيع/بناء تطبيقات جديدة لديها وعي بالحوسبة السرية
  • يسمح بتحدي بيئة وقت التشغيل عن بعد لإثبات التشفير الذي يوضح ما تم بدؤه كما تم الإبلاغ عنه من قبل المعالج الآمن
  • يوفر ضمانات قوية لسرية البيانات وسلامة التعليمات البرمجية وسلامة البيانات في بيئة سحابية مع عروض الحوسبة السرية المستندة إلى الأجهزة
  • يساعد على عزل الحاويات الخاصة بك عن مجموعات الحاويات الأخرى/pods، بالإضافة إلى نواة نظام التشغيل لعقدة الجهاز الظاهري

حاويات سرية معزولة للجهاز الظاهري على مثيلات حاوية Azure (ACI)

تمكن الحاويات السرية على ACI من النشر السريع والسهل للحاويات محليا في Azure، مع القدرة على حماية البيانات والرمز قيد الاستخدام بفضل معالجات AMD EPYC™ ذات قدرات الحوسبة السرية. وذلك لأن الحاوية (الحاويات) الخاصة بك تعمل في بيئة تنفيذ موثوق بها (TEE) مستندة إلى الأجهزة ومصدق عليها دون الحاجة إلى اعتماد نموذج برمجة متخصص وبدون نفقات إدارة البنية الأساسية. مع هذا التشغيل يمكنك الحصول على:

  1. إثبات الضيف الكامل، والذي يعكس القياس المشفر لجميع مكونات الأجهزة والبرامج التي تعمل داخل قاعدة الحوسبة الموثوق بها (TCB).
  2. أدوات لإنشاء نهج سيتم فرضها في بيئة التنفيذ الموثوق بها.
  3. حاويات جانبية مفتوحة المصدر لإصدار المفتاح الآمن وأنظمة الملفات المشفرة.

Graphic of ACI.

حاويات سرية في جيب Intel SGX من خلال OSS أو برنامج شريك

تدعم خدمة Azure Kubernetes (AKS) إضافة عقد جهاز ظاهري للحوسبة السرية Intel SGX كتجمعات وكلاء في نظام مجموعة. تسمح لك هذه العقد بتشغيل أحمال العمل الحساسة داخل TEE المستندة إلى الأجهزة. تسمح TEEs للتعليمات البرمجية على مستوى المستخدم من الحاويات بتخصيص مناطق خاصة من الذاكرة لتنفيذ التعليمات البرمجية باستخدام وحدة المعالجة المركزية مباشرة. تسمى مناطق الذاكرة الخاصة هذه التي تنفذ مباشرة مع وحدة المعالجة المركزية تُسمى بالجيوب. تساعد الجيوب في حماية سرية البيانات وسلامة البيانات وتكامل التعليمات البرمجية من العمليات الأخرى التي تعمل على نفس العقد، بالإضافة إلى عامل تشغيل Azure. يقوم نموذج تنفيذ Intel SGX أيضاً بإزالة الطبقات المتوسطة لنظام التشغيل Guest ونظام التشغيل المضيف وHypervisor وبالتالي تقليل مساحة سطح الهجوم. يسمح الجهاز المستند إلى نموذج التنفيذ المعزول لكل حاوية في عقدة للتطبيقات بالتنفيذ المباشر مع وحدة المعالجة المركزية، مع الحفاظ على الكتلة الخاصة من الذاكرة مشفرةً لكل حاوية. تعد عقد الحوسبة السرية مع حاويات سرية إضافة رائعة إلى الثقة المعدومة والتخطيط الأمني واستراتيجية الحاوية الدفاعية المتعمقة. تعرف على المزيد حول هذه الإمكانية هنا

Graphic of AKS Confidential Compute Node, showing confidential containers with code and data secured inside.

هل لديك أسئلة؟

إذا كانت لديك أسئلة حول عروض الحاويات، فيرجى التواصل مع acconaks@microsoft.com.

الخطوات التالية