Bizalmas tárolók Azure Container Instances

Ez a cikk bemutatja, hogy a Azure Container Instances bizalmas tárolói hogyan teszik lehetővé a felhőben futó számítási feladatok védelmét. Ez a cikk a funkciókészlet, a forgatókönyvek, a korlátozások és az erőforrások hátterét ismerteti.

A bizalmas tárolók Azure Container Instances lehetővé teszik az ügyfelek számára, hogy Linux-tárolókat futtasson egy hardveralapú és igazolt megbízható végrehajtási környezetben (TEE). Az ügyfelek emelhetik és áthelyezhetik tárolóalapú Linux-alkalmazásaikat, vagy új bizalmas számítástechnikai alkalmazásokat hozhatnak létre anélkül, hogy speciális programozási modelleket kellene bevezetniük a TEE-ben a bizalmasság előnyeinek eléréséhez. A Azure Container Instances bizalmas tárolói védik a használatban lévő adatokat, és titkosítják a memóriában használt adatokat. Azure Container Instances ezt a képességet ellenőrizhető végrehajtási szabályzatokkal és a megbízhatósági biztosítékok ellenőrizhető hardvergyökerével bővíti a vendégigazoláson keresztül.

A bizalmas tárolók jellemzői a Azure Container Instances

Alkalmazások emelése és áthelyezése

Az ügyfelek emelhetik és áthelyezhetik tárolóalapú Linux-alkalmazásaikat, vagy új bizalmas számítástechnikai alkalmazásokat hozhatnak létre anélkül, hogy speciális programozási modelleket kellene bevezetniük a TEE-ben a bizalmasság előnyeinek eléréséhez.

Hardveralapú megbízható végrehajtási környezet

A bizalmas tárolók a Azure Container Instances egy Hyper-V izolált TEE-vel rendelkező tárolócsoportban vannak üzembe helyezve, amely egy AMD SEV-SNP-kompatibilis processzor által létrehozott és felügyelt memóriatitkosítási kulcsot tartalmaz. A memóriában használt adatokat ezzel a kulccsal titkosítja a rendszer, hogy védelmet nyújtson az adat-visszajátszás, a sérülés, az újrakészítés és az aliasolásalapú támadások ellen.

Ellenőrizhető végrehajtási szabályzatok

A Azure Container Instances bizalmas tárolói olyan ellenőrizhető végrehajtási szabályzatokkal futtathatók, amelyek lehetővé teszik az ügyfelek számára, hogy szabályozhassák, hogy mely szoftverek és műveletek futhatnak a TEE-ben. Ezek a végrehajtási szabályzatok segítenek védelmet nyújtani a rossz szereplők ellen, amelyek váratlan alkalmazásmódosításokat hoznak létre, amelyek bizalmas adatokat szivároghatnak ki. A végrehajtási szabályzatokat az ügyfél a megadott eszközök használatával állítja be, és titkosítási ellenőrzéssel ellenőrzi.

Távoli vendégigazolás

Az ACI bizalmas tárolói támogatják a távoli vendégigazolást, amely a tárolócsoport megbízhatóságának ellenőrzésére szolgál, mielőtt biztonságos csatornát hoz létre egy függő entitással. A tárolócsoportok létrehozhatnak egy SNP hardverigazolási jelentést, amelyet a hardver ír alá, és információkat tartalmaz a hardverről és a szoftverről. Ezt a létrehozott hardverigazolási jelentést ezután a Microsoft Azure Attestation szolgáltatás egy nyílt forráskódú oldalkocsi-alkalmazáson vagy egy másik igazolási szolgáltatáson keresztül ellenőrizheti, mielőtt bizalmas adatokat bocsátanak ki a TEE-nek.

Bizalmas számítástechnikai kényszerítési szabályzatok

A bizalmas tárolók a tárolószintű integritást és igazolást bizalmas számítástechnikai kényszerítési (CCE) szabályzatokkal támogatják. A bizalmas számítástechnikai kényszerítési szabályzatok előírják azokat az összetevőket, amelyek a tárolócsoporton belül futtathatók, és amelyeket a tároló futtatókörnyezete érvényesít.

Azure CLI-konferenciabővítmény

Az Azure CLI-konferenciabővítmény lehetővé teszi az ügyfelek számára, hogy bizalmas számítástechnikai kényszerítési szabályzatokat generáljanak arm-sablon használatával bemenetként, és kimenetként egy 64-as alapszintű sztringszabályzatot adjanak meg. Ez a kimenet szerepel a tárolócsoport definíciójában, amely kikényszeríti, hogy mely összetevők fussanak. A bizalmas számítástechnikai végrehajtási szabályzatok készítésével kapcsolatos további részletekért lásd: Azure CLI confcom bővítmény.

Biztonságos kulcskiadás és titkosított fájlrendszer-oldalkocsik

A bizalmas tárolók Azure Container Instances két nyílt forráskód oldalkocsival integrálhatók a tárolócsoporton belüli bizalmas funkciók támogatásához. Ezeket az oldalkocsikat és további információkat a bizalmas oldalkocsi-adattárban találja.

Biztonságos kulcskioldó oldalkocsi

A bizalmas tárolók Azure Container Instances egy oldalkocsis nyílt forráskód tárolót biztosítanak az igazoláshoz és a kulcs biztonságos kiadásához. Ez az oldalkocsi létrehoz egy webkiszolgálót, amely egy REST API-t tesz elérhetővé, hogy más tárolók a POST metódussal lekérhessenek egy hardverigazolási jelentést vagy egy Microsoft Azure Attestation jogkivonatot. Az oldalkocsi integrálható az Azure Key Vaulttal, hogy az ellenőrzés befejezése után kiadjon egy kulcsot a tárolócsoportnak.

Titkosított fájlrendszeroldali kocsi

A bizalmas tárolók Azure Container Instances egy oldalkocsis tárolót biztosítanak, a Azure Blob Storage korábban feltöltött távoli titkosított fájlrendszer csatlakoztatásához. Az oldalkocsi-tároló transzparensen lekéri a hardverigazolást és az igazolás aláírókulcsát jelölő tanúsítványláncot. Ezután megkéri a Microsoft Azure Attestation, hogy engedélyezzen egy igazolási jogkivonatot, amely a fájlrendszer titkosítási kulcsának biztonságos felszabadításához szükséges a felügyelt HSM-ből. A kulcs csak akkor kerül a sidecar tárolóba, ha az igazolási jogkivonatot a várt szolgáltató írta alá, és az igazolási jogcímek megfelelnek a kulcs kiadási szabályzatának. A sidecar tároló transzparensen használja a kulcsot a távoli titkosított fájlrendszer csatlakoztatásához; ez a folyamat megőrzi a fájlrendszer bizalmasságát és integritását a tárolócsoporton belül futó tároló minden művelete esetén.

Forgatókönyvek

Adattisztítási helyiségek több féltől származó adatelemzéshez és gépi tanulási képzéshez

Az üzleti tranzakciók és a projektbeli együttműködések gyakran megkövetelik a bizalmas adatok több fél közötti megosztását. Ezek az adatok tartalmazhatnak személyes adatokat, pénzügyi információkat és orvosi adatokat, amelyeket védeni kell a jogosulatlan hozzáféréstől. A bizalmas tárolók a Azure Container Instances biztosítják a szükséges funkciókat (hardveralapú TEES, távoli igazolás) az ügyfelek számára a betanítási adatok több forrásból történő feldolgozásához anélkül, hogy bemeneti adatokat adnak ki más feleknek. Ez lehetővé teszi a szervezetek számára, hogy nagyobb értéket szerezzenek a partnereik adathalmazaiból, miközben fenntartják a bizalmas adatokhoz való hozzáférés feletti irányítást. Így a bizalmas tárolók Azure Container Instances ideálisak a több féltől származó adatelemzési forgatókönyvekhez, például a bizalmas gépi tanuláshoz.

Bizalmas következtetés

Az ACI gyors és egyszerű üzembe helyezést, rugalmas erőforrás-kiosztást és használatalapú fizetést biztosít, amely kiváló platformként szolgál a bizalmas következtetési számítási feladatokhoz. A Azure Container Instances bizalmas tárolóival a modellfejlesztők és az adattulajdonosok együttműködhetnek, miközben védik a modellfejlesztő szellemi tulajdonát, és megőrzik a következtetéshez használt adatokat. Tekintse meg a bizalmas következtetés mintájának üzembe helyezését bizalmas tárolók használatával a Azure Container Instances.

Nem támogatott forgatókönyvek

• A bizalmas számítástechnikai kényszerítési szabályzatokat az Azure CLI confcom bővítményének kell létrehoznia, és nem hozható létre manuálisan.

Források

• Azure CLI-konferenciabővítmény
• Bizalmas oldalkocsi-tárolók
• Bizalmas hello world alkalmazás
• Gépi tanulási következtetés bemutatója

Következő lépések

• Üzembe helyezési példa: Bizalmas tárolócsoport üzembe helyezése az Azure Resource Manager