Share via

حاويات مدركة للجيب مع Intel SGX

  • مقالة

الجيب عبارة عن منطقة ذاكرة محمية توفر السرية للبيانات وتنفيذ التعليمات البرمجية. إنه مثيل لبيئة التنفيذ الموثوق بها (TEE) التي يتم تأمينها بواسطة الأجهزة. يستخدم دعم الجهاز الظاهري للحوسبة السرية على AKS ملحقات Intel Software Guard (SGX) لإنشاء بيئات مغلقة معزولة في العقد بين كل تطبيق حاوية.

تماما مثل أجهزة Intel SGX الظاهرية، تشتمل تطبيقات الحاويات التي تم تطويرها للتشغيل في الجيوب على مكونين:

  • مكون غير موثوق به (يسمى المضيف) و
  • مكون موثوق به (يسمى الجيب).

جيب علم هندسة الحاويات

جيب علم الحاويات تطبيق العمارة يعطيك أقصى قدر من التحكم في التنفيذ مع الحفاظ على بصمة رمز في جيب منخفضة. يساعد تقليل التعليمات البرمجية التي تعمل في الجيب على تقليل مناطق سطح الهجوم.

عوامل التمكين

فتح جيب SDK

Open Enclave SDK هي مكتبة مفتوحة المصدر غير محددة الأجهزة لتطوير تطبيقات C وC++ التي تستخدم بيئات التنفيذ الموثوق بها المستندة إلى الأجهزة. يوفر التطبيق الحالي دعماً لـ Intel SGX ودعم الإصدار الأولي OP-TEE OS على Arm TrustZone.

ابدأ باستخدام تطبيق الحاوية المفتوحة المستندة إلى Enclave هنا

Intel SGX SDK

تحتفظ Intel بمجموعة أدوات تطوير البرامج لبناء تطبيقات SGX لكل من أحمال عمل حاويات Linux و Windows. حاويات Windows غير مدعومة حاليًا بواسطة عُقد الحوسبة السرية AKS.

ابدأ مع التطبيقات المستندة إلى Intel SGX هنا

إطار عمل الاتحاد السري (CCF)

إطار الاتحاد السري (CCF) هو إطار مفتوح المصدر لبناء فئة جديدة من التطبيقات الآمنة والمتاحة للغاية وذات الأداء العالي والتي تركز على الحوسبة والبيانات متعددة الأطراف. يمكن لـ CCF تمكين الشبكات عالية النطاق والسرية التي تلبي متطلبات المؤسسة الرئيسية - ما يوفر وسيلة لتسريع الإنتاج وتبني المؤسسة لتقنية سلسلة الحركات القائمة على الاتحاد وتقنية الحوسبة متعددة الأطراف.

ابدأ باستخدام الحوسبة السرية Azure وCCF هنا

وقت تشغيل ONNX للاستدلال السري

يقوم وقت تشغيل ONNX المفتوح المصدر القائم على الجيب بإنشاء قناة آمنة بين العميل وخدمة الاستدلال - ما يضمن أنه لا يمكن للطلب أو الاستجابة مغادرة الجيب الآمن.

هذا الحل يسمح لك لجلب القائمة ML نموذج المدربين وتشغيلها بشكل سري مع توفير الثقة بين العميل والخادم من خلال التصديق والتحقق.

ابدأ مع رفع نموذج ML والتحول إلى وقت تشغيل ONNX هنا

EGo

توفر EGo SDK مفتوحة المصدر دعماً للغة البرمجة Go بالنسبة للجيوب. EGo يبني على فتح جيب SDK. تهدف إلى تسهيل بناء خدمات صغيرة سرية. اتبع هذا الدليل خطوة بخطوة، لنشر خدمة تستند إلى EGo على AKS.

تطبيقات العينة المستندة إلى الحاوية

عينات Azure للحاويات الواعية الجيب على AKS

نشر نظام مجموعة AKS مع عقد جهاز Intel SGX الظاهري السري

Azure Attestation

جهاز Intel SGX الظاهري السري على Azureحاويات سرية