مشاركة عبر

حاويات سرية (معاينة) على خدمة Azure Kubernetes

  • مقالة

مع نمو تطوير التطبيقات السحابية الأصلية، هناك حاجة متزايدة لحماية أحمال العمل التي تعمل في بيئات السحابة أيضا. يشكل وضع حمل العمل في حاويات مكونا رئيسيا لنموذج البرمجة هذا، ومن ثم، فإن حماية الحاوية أمر بالغ الأهمية لتشغيلها بشكل سري في السحابة.

تمكن الحاويات السرية على خدمة Azure Kubernetes (AKS) من عزل مستوى الحاوية في أحمال عمل Kubernetes. إنها إضافة إلى مجموعة Azure من منتجات الحوسبة السرية، وتستخدم تشفير ذاكرة AMD SEV-SNP لحماية حاوياتك في وقت التشغيل.

تعتبر الحاويات السرية جذابة لسيناريوهات النشر التي تتضمن بيانات حساسة (على سبيل المثال، البيانات الشخصية أو أي بيانات ذات أمان قوي مطلوب للامتثال التنظيمي).

ما الذي يجعل الحاوية سرية؟

تمشيا مع الإرشادات التي حددها اتحاد الحوسبة السرية، والتي تعد Microsoft عضوا مؤسسا لها، تحتاج الحاويات السرية إلى تنفيذ ما يلي -

  • الشفافية: بيئة الحاوية السرية حيث تتم مشاركة تطبيقك الحساس، يمكنك رؤية ما إذا كان آمنا والتحقق منه. يجب مصدر مفتوح جميع مكونات قاعدة الحوسبة الموثوق بها (TCB).
  • إمكانية التدقيق: لديك القدرة على التحقق ومعرفة إصدار حزمة بيئة CoCo بما في ذلك نظام التشغيل Linux Guest وجميع المكونات الحالية. تقوم Microsoft بتسجيل الدخول إلى نظام التشغيل الضيف وبيئة وقت تشغيل الحاوية للتحقق من خلال التصديق. كما أنه يطلق خوارزمية تجزئة آمنة (SHA) من بنيات نظام التشغيل الضيف لبناء سلسلة السمعة والتحكم في القصة.
  • الإثبات الكامل: يجب قياس أي شيء يشكل جزءا من TEE بشكل كامل بواسطة وحدة المعالجة المركزية مع القدرة على التحقق عن بعد. يجب أن يعكس تقرير الأجهزة من معالج AMD SEV-SNP طبقات الحاوية وتجزئة تكوين وقت تشغيل الحاوية من خلال مطالبات التصديق. يمكن للتطبيق إحضار تقرير الأجهزة محليا بما في ذلك التقرير الذي يعكس صورة نظام التشغيل الضيف ووقت تشغيل الحاوية.
  • تكامل التعليمات البرمجية: يتوفر فرض وقت التشغيل دائما من خلال النهج المعرفة من قبل العميل للحاويات وتكوين الحاوية، مثل النهج غير القابلة للتغيير وتوقيع الحاوية.
  • العزلة عن المشغل: تصميمات الأمان التي تفترض أقل امتياز وأعلى عزلة محمية من جميع الأطراف غير الموثوق بها بما في ذلك مسؤولي العملاء/المستأجرين. وهو يتضمن تقوية وصول وحدة التحكم Kubernetes الحالية (kubelet) إلى القرون السرية.

ولكن مع هذه الميزات من السرية، يجب أن المنتج إضافةitioanally سهولة استخدامه: فإنه يدعم جميع حاويات Linux غير المعدلة مع توافق ميزة Kubernetes عالية. بالإضافة إلى ذلك، فإنه يدعم تجمعات العقد غير المتجانسة (GPU، عقد الأغراض العامة) في مجموعة واحدة لتحسين التكلفة.

ما هي أشكال الحاويات السرية على AKS؟

وفقا لالتزام Microsoft بالمجتمع مفتوح المصدر، يستخدم المكدس الأساسي للحاويات السرية عامل Kata CoCo كعامل يعمل في العقدة التي تستضيف الحاوية التي تشغل حمل العمل السري. مع العديد من تقنيات TEE التي تتطلب حدودا بين المضيف والضيف، فإن حاويات Kata هي الأساس للعمل الأولي ل Kata CoCo. كما ساهمت Microsoft مرة أخرى في مجتمع Kata Coco لتشغيل الحاويات التي تعمل داخل جهاز ظاهري للأداة المساعدة السرية.

توجد حاوية Kata السرية داخل مضيف حاوية Azure Linux AKS. Azure Linux وHypervisor VMM (Virtual Machine Monitor) هو برنامج مساحة المستخدم النهائي المستخدم لإنشاء وإدارة عمر الأجهزة الظاهرية.

عزل مستوى الحاوية في AKS

بشكل افتراضي، تشترك جميع أحمال العمل في AKS في نفس النواة ونفس مسؤول نظام المجموعة. مع معاينة Pod Sandboxing على AKS، نمت العزلة بشكل أعلى مع القدرة على توفير عزل النواة لأحمال العمل على نفس عقدة AKS. يمكنك قراءة المزيد حول الميزة هنا. الحاويات السرية هي الخطوة التالية من هذا العزل وتستخدم قدرات تشفير الذاكرة لأحجام الجهاز الظاهري AMD SEV-SNP الأساسية. هذه الأجهزة الظاهرية هي DCa_cc وأحجام ECa_cc مع القدرة على تصفح جذر الثقة في الأجهزة إلى الحجيرات المنشورة عليه.

Diagram of various layers of the architecture forming Confidential Containers.

الشروع في العمل

للبدء ومعرفة المزيد حول السيناريوهات المدعومة، راجع وثائق AKS هنا.

الخطوة التالية

نشر حاوية سرية على AKS.