사전 읽기 권장 사항

  • 아티클

이 문서는 워크로드 요구 사항 및 보안 태세에 가장 적합한 Azure 기밀 컴퓨팅에서 컨테이너 제품을 선택하는 프로세스를 안내하는 데 도움이 되도록 설계되었습니다. 이 가이드를 최대한 활용하려면 다음 사전 읽기를 사용하는 것이 좋습니다.

Azure Compute 의사 결정 행렬

전체 Azure Compute 제품을 숙지하여 Azure 기밀 컴퓨팅이 작동하는 광범위한 컨텍스트를 이해합니다.

Azure 기밀 컴퓨팅 소개

Azure 기밀 컴퓨팅은 클라우드에서 처리하는 동안 중요한 데이터를 격리할 수 있는 솔루션을 제공합니다. 기밀 컴퓨팅 Azure 기밀 컴퓨팅에 대해 자세히 읽을 수 있습니다.

증명

증명은 애플리케이션이 실행되는 하드웨어 및 소프트웨어 환경의 무결성 및 ID에 대한 보증을 제공하는 프로세스입니다. 기밀 컴퓨팅에서 증명을 사용하면 애플리케이션이 신뢰할 수 있는 하드웨어 및 신뢰할 수 있는 실행 환경에서 실행 중인지 확인할 수 있습니다.

Azure Attestation에서 증명 및 Microsoft Azure 증명 서비스에 대해 자세히 알아보기

메모리 격리 정의

기밀 컴퓨팅에서 메모리 격리는 처리 중에 데이터를 보호하는 중요한 기능입니다. 기밀 컴퓨팅 컨소시엄은 메모리 격리를 다음과 같이 정의합니다.

"메모리 격리는 공격자가 운영 체제 또는 기타 권한 있는 소프트웨어를 손상시켰더라도 메모리 내 데이터에 대한 무단 액세스를 방지하는 기능입니다. 이를 위해 하드웨어 기반 기능을 사용하여 기밀 워크로드를 위한 안전하고 격리된 환경을 만듭니다."

Azure 기밀 컴퓨팅에서 컨테이너 제품 선택

Azure 기밀 컴퓨팅은 컨테이너 배포 및 관리를 위한 다양한 솔루션을 제공하며, 각 솔루션은 다양한 격리 수준 및 증명 기능에 맞게 조정됩니다.

현재 설정 및 운영 요구 사항에 따라 이 문서의 가장 관련성이 참조 경로가 결정됩니다. 이미 AKS(Azure Kubernetes Service)를 사용하고 있거나 Kubernetes API를 사용하는 경우 AKS 경로를 따르는 것이 좋습니다. 반면, Virtual Machine 설정에서 전환 중이고 서버리스 컨테이너 탐색에 관심이 있는 경우 ACI(Azure Container Instances) 경로가 적절할 것입니다.

AKS(Azure Kubernetes Service)

기밀 VM 작업자 노드

  • 게스트 증명: Azure에서 제공하는 기밀 가상 머신에서 작업하고 있는지 확인하는 기능입니다.
  • 메모리 격리: VM당 고유한 메모리 암호화 키를 사용하는 VM 수준 격리입니다.
  • 프로그래밍 모델: 컨테이너화된 애플리케이션이 변경되지 않았거나 최소로 변경되었습니다. 지원은 Linux 기반 컨테이너(컨테이너에 Linux 기본 이미지를 사용하는 컨테이너)로 제한됩니다.

CVM 노드 풀에 대한 리프트 앤 시프트 워크로드를 사용하여 CVM 작업자 노드 시작에 대해 자세히 알아볼 수 있습니다.

AKS의 기밀 컨테이너

  • 전체 게스트 증명: 워크로드를 포함하여 전체 기밀 컴퓨팅 환경을 증명할 수 있습니다.
  • 메모리 격리: VM당 고유한 메모리 암호화 키를 사용하는 노드 수준 격리입니다.
  • 프로그래밍 모델: 컨테이너화된 애플리케이션이 변경되지 않았거나 최소로 변경되었습니다(컨테이너에 대해 Linux 기반 이미지를 사용하는 컨테이너).
  • 이상적인 워크로드: 중요한 데이터 처리, 다자간 계산 및 규정 준수 요구 사항이 있는 애플리케이션입니다.

Azure Kubernetes Service를 사용하는 기밀 컨테이너에서 자세한 내용을 확인할 수 있습니다.

Intel SGX를 사용하는 기밀 컴퓨팅 노드

  • 애플리케이션 Enclave 증명: VM을 신뢰할 수 없고 애플리케이션만 신뢰할 수 있는 시나리오에서 실행 중인 컨테이너의 증명을 사용하도록 설정하여 애플리케이션의 실행 환경에서 보안 및 신뢰 수준을 강화합니다.
  • 격리: 프로세스 수준 격리입니다.
  • 프로그래밍 모델: 기존 컨테이너화된 애플리케이션을 실행하기 위해 오픈 소스 라이브러리 OS 또는 공급업체 솔루션을 사용해야 합니다. 지원은 Linux 기반 컨테이너(컨테이너에 Linux 기본 이미지를 사용하는 컨테이너)로 제한됩니다.
  • 이상적인 워크로드: 키 관리 시스템과 같은 높은 보안 애플리케이션을 사용할 수 있습니다.

제품 및 파트너 솔루션에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

서버를 사용하지 않음

ACI(Azure Container Instances)의 기밀 컨테이너

  • 전체 게스트 증명: 워크로드를 포함하여 전체 기밀 컴퓨팅 환경을 증명할 수 있습니다.
  • 격리: 컨테이너 그룹당 고유한 메모리 암호화 키를 사용하는 컨테이너 그룹 수준 격리입니다.
  • 프로그래밍 모델: 컨테이너화된 애플리케이션이 변경되지 않았거나 최소로 변경되었습니다. 지원은 Linux 기반 컨테이너(컨테이너에 Linux 기본 이미지를 사용하는 컨테이너)로 제한됩니다.
  • 이상적인 워크로드: 오케스트레이션 없이 간단한 컨테이너화된 워크로드를 빠르게 개발 및 배포합니다. 가상 노드를 사용하여 AKS에서의 버스팅을 지원합니다.

자세한 내용은 ACI의 기밀 컨테이너 시작에서 확인할 수 있습니다.

자세한 정보

Azure의 Intel SGX 기밀 가상 머신Azure의 기밀 컨테이너