Recomendaciones de lectura previa

  • Artículo

Este documento está diseñado para ayudarle a guiar el proceso de selección de una oferta de contenedor en Azure Confidential Computing que mejor se adapte a los requisitos de carga de trabajo y la posición de seguridad. Para aprovechar al máximo la guía, le recomendamos las siguientes lecturas previas.

Matriz de decisión de Azure Compute

Familiarícese con las ofertas generales de Azure Compute para comprender el contexto más amplio en el que funciona Azure Confidential Computing.

Introducción a Azure Confidential Computing

Azure Confidential Computing ofrece soluciones para habilitar el aislamiento de los datos confidenciales mientras se procesan en la nube. Puede obtener más información sobre la computación confidencial en Computación confidencial de Azure.

Atestación

La atestación es un proceso que proporciona garantías sobre la integridad e identidad de los entornos de hardware y software en los que se ejecutan las aplicaciones. En Confidential Computing, la atestación permite comprobar que las aplicaciones se ejecutan en hardware de confianza y en un entorno de ejecución de confianza.

Obtenga más información sobre la certificación y el servicio de Microsoft Azure Attestation en Atestación en Azure

Definición del aislamiento de memoria

En la computación confidencial, el aislamiento de memoria es una característica crítica que protege los datos durante el procesamiento. El consorcio de Confidential Computing define el aislamiento de memoria como:

"El aislamiento de memoria es la capacidad de evitar el acceso no autorizado a los datos en la memoria, incluso si el atacante ha puesto en peligro el sistema operativo u otro software con privilegios. Esto se logra mediante el uso de características basadas en hardware para crear un entorno seguro y aislado para la carga de trabajo confidencial".

Elección de una oferta de contenedor en Azure Confidential Computing

Azure Confidential Computing ofrece varias soluciones para la implementación y administración de contenedores, cada una adaptada a diferentes niveles de funcionalidades de aislamiento y atestación.

La configuración actual y las necesidades operativas dictan la ruta de acceso más relevante a través de este documento. Si ya usa Azure Kubernetes Service (AKS) o tiene dependencias en las API de Kubernetes, se recomienda seguir las rutas de acceso de AKS. Por otro lado, si va a realizar la transición desde una configuración de máquina virtual y está interesado en explorar contenedores sin servidor, la ruta de acceso de ACI (Azure Container Instances) debería ser de interés.

Azure Kubernetes Service (AKS)

Nodos de trabajo de máquina virtual confidenciales

  • Atestación de invitado: capacidad para comprobar que está trabajando en una máquina virtual confidencial proporcionada por Azure.
  • Aislamiento de memoria: aislamiento de nivel de máquina virtual con clave de cifrado de memoria única por máquina virtual.
  • Modelo de programación: cambios mínimos o nulos para las aplicaciones en contenedores. La compatibilidad se limita a los contenedores basados en Linux (contenedores que usan una imagen base de Linux para el contenedor).

Puede encontrar más información sobre introducción a los nodos de trabajo de CVM con una carga de trabajo de lift-and-shift al grupo de nodos de CVM.

Contenedores confidenciales en AKS

  • Atestación de invitado completa: habilita la atestación del entorno informático confidencial completo, incluida la carga de trabajo.
  • Aislamiento de memoria: aislamiento de nivel de nodo con una clave de cifrado de memoria única por máquina virtual.
  • Modelo de programación: cambios mínimos o nulos para aplicaciones en contenedor (contenedores que usan una imagen base de Linux para el contenedor).
  • Cargas de trabajo ideales: aplicaciones con procesamiento de datos confidenciales, cálculos de varias partes y requisitos de cumplimiento normativo.

Puede encontrar más información en Contenedores confidenciales con Azure Kubernetes Service.

Nodos de Confidential Computing con Intel SGX

  • Atestación de enclave de aplicación: habilita la atestación del contenedor en ejecución, en escenarios en los que la máquina virtual no es de confianza, pero solo la aplicación es de confianza, lo que garantiza un mayor nivel de seguridad y confianza en el entorno de ejecución de la aplicación.
  • Aislamiento: aislamiento de nivel de proceso.
  • Modelo de programación: requiere el uso de soluciones de proveedor o sistema operativo de biblioteca de código abierto para ejecutar aplicaciones en contenedor existentes. La compatibilidad se limita a los contenedores basados en Linux (contenedores que usan una imagen base de Linux para el contenedor).
  • Cargas de trabajo ideales: aplicaciones de alta seguridad, como sistemas de administración de claves.

Puede encontrar más información sobre la oferta y nuestras soluciones de asociados aquí.

Sin servidor

Contenedores confidenciales en Azure Container Instances (ACI)

  • Atestación de invitado completa: habilita la atestación del entorno informático confidencial completo, incluida la carga de trabajo.
  • Aislamiento: aislamiento de nivel de grupo de contenedores con una clave de cifrado de memoria única por grupo de contenedores.
  • Modelo de programación: cambios mínimos o nulos para las aplicaciones en contenedores. La compatibilidad se limita a los contenedores basados en Linux (contenedores que usan una imagen base de Linux para el contenedor).
  • Cargas de trabajo ideales: desarrollo e implementación rápidos de cargas de trabajo en contenedores sencillas sin orquestación. Compatibilidad con la expansión desde AKS mediante nodos virtuales.

Puede encontrar más detalles en Introducción a contenedores confidenciales en ACI.

Saber más

Máquina virtual confidenciales con Intel SGX en AzureContenedores confidenciales en Azure