Share via

Előfutó Javaslatok

  • Cikk

Ez a dokumentum segít végigvezetni a számítási feladatokra vonatkozó követelményeknek és a biztonsági helyzetnek leginkább megfelelő tárolóajánlat kiválasztásának folyamatán az Azure Confidential Computingban. Az útmutató kihasználása érdekében az alábbi előolvasásokat javasoljuk.

Azure Compute Decision Matrix

Ismerkedjen meg az Azure Compute általános ajánlataival , hogy megismerje az Azure Confidential Computing működésének tágabb kontextusát.

Bevezetés az Azure Confidential Computing használatába

Az Azure Confidential Computing megoldásokat kínál a bizalmas adatok elkülönítésére, miközben azokat a felhőben dolgozzák fel. A bizalmas Azure-számítástechnikáról bővebben is olvashat.

Igazolás

Az igazolás olyan folyamat, amely biztosítékokat nyújt azon hardver- és szoftverkörnyezetek integritására és identitására vonatkozóan, amelyekben az alkalmazások futnak. A bizalmas számítástechnikában az igazolással ellenőrizheti, hogy az alkalmazások megbízható hardveren és megbízható végrehajtási környezetben futnak-e.

További információ az igazolásról és a Microsoft Azure-igazolási szolgáltatásról az Azure-ban

A memóriaelkülönítés definíciója

A bizalmas számítástechnikában a memóriaelkülönítés kritikus fontosságú, amely védelmet nyújt az adatoknak a feldolgozás során. A Confidential Computing Consortium a memóriaelkülönítést a következőképpen határozza meg:

"A memóriaelkülönítés lehetővé teszi a memória adataihoz való jogosulatlan hozzáférést, még akkor is, ha a támadó feltörte az operációs rendszert vagy más kiemelt szoftvereket. Ezt úgy érheti el, hogy hardveralapú funkciókkal biztonságos és elkülönített környezetet hoz létre a bizalmas számítási feladatokhoz."

Tárolóajánlat kiválasztása az Azure Confidential Computing szolgáltatásban

Az Azure Confidential Computing különböző megoldásokat kínál a tárolók üzembe helyezéséhez és felügyeletéhez, amelyek mindegyike az elkülönítés és az igazolási képességek különböző szintjeihez igazodik.

A jelenlegi beállítási és üzemeltetési igények határozzák meg a dokumentum legrelevánsabb elérési útját. Ha már használja az Azure Kubernetes Service-t (AKS), vagy függőségei vannak a Kubernetes API-któl, javasoljuk, hogy kövesse az AKS-útvonalakat. Ha viszont áttér egy virtuális gép beállítására, és szeretne kiszolgáló nélküli tárolókat felderíteni, az ACI (Azure Container Instances) elérési útja is érdekes lehet.

Azure Kubernetes Service (AKS)

Bizalmas virtuálisgép-feldolgozó csomópontok

  • Vendégigazolás: Annak ellenőrzése, hogy az Azure által biztosított bizalmas virtuális gépen dolgozik-e.
  • Memóriaelkülönítés: Virtuálisgép-szint elkülönítése virtuális gépenként egyedi memóriatitkosítási kulccsal.
  • Programozási modell: Tárolóalapú alkalmazások esetében nulla és minimális változások. A támogatás a Linux-alapú tárolókra korlátozódik (a tároló linuxos alaprendszerképét használó tárolókra).

További információ a CVM-feldolgozó csomópontok használatának első lépéseiről emeléssel és számítási feladatok CVM-csomópontkészletbe való áthelyezésével kapcsolatban.

Bizalmas tárolók az AKS-en

  • Teljes vendégigazolás: Lehetővé teszi a teljes bizalmas számítási környezet igazolását, beleértve a számítási feladatot is.
  • Memóriaelkülönítés: Csomópontszintű elkülönítés virtuális gépenként egyedi memóriatitkosítási kulccsal.
  • Programozási modell: A tárolóalapú alkalmazások (a tároló linuxos alaprendszerképét használó tárolók) minimális változásai.
  • Ideális számítási feladatok: Bizalmas adatfeldolgozással, több féltől származó számításokkal és szabályozási megfelelőségi követelményekkel rendelkező alkalmazások.

További információt az Azure Kubernetes Service bizalmas tárolóiban talál.

Bizalmas számítási csomópontok az Intel SGX-sel

  • Alkalmazás-enklávé igazolása: Lehetővé teszi a tároló futásának igazolását olyan esetekben, amikor a virtuális gép nem megbízható, de csak az alkalmazás megbízható, így magasabb szintű biztonságot és megbízhatóságot biztosít az alkalmazás végrehajtási környezetében.
  • Elkülönítés: Folyamatszintű elkülönítés.
  • Programozási modell: A meglévő tárolóalapú alkalmazások futtatásához nyílt forráskódú kódtár operációs rendszere vagy szállítói megoldások használata szükséges. A támogatás a Linux-alapú tárolókra korlátozódik (a tároló linuxos alaprendszerképét használó tárolókra).
  • Ideális számítási feladatok: Magas biztonsági szintű alkalmazások, például kulcskezelő rendszerek.

Az ajánlatról és partnermegoldásainkról itt talál további információt.

Kiszolgáló nélküli

Bizalmas tárolók az Azure Container Instancesben (ACI)

  • Teljes vendégigazolás: Lehetővé teszi a teljes bizalmas számítási környezet igazolását, beleértve a számítási feladatot is.
  • Elkülönítés: Tárolócsoportszintű elkülönítés tárolócsoportonként egyedi memóriatitkosítási kulccsal.
  • Programozási modell: Tárolóalapú alkalmazások esetében nulla és minimális változások. A támogatás a Linux-alapú tárolókra korlátozódik (a tároló linuxos alaprendszerképét használó tárolókra).
  • Ideális számítási feladatok: Egyszerű tárolóalapú számítási feladatok gyors fejlesztése és üzembe helyezése vezénylés nélkül. Az AKS virtuális csomópontok használatával történő kipukkadásának támogatása.

A bizalmas tárolók használatának első lépései az ACI-n című témakörben talál további részleteket.

További információ

Intel SGX bizalmas virtuális gépek azure-belibizalmas tárolókon az Azure-ban