Ez a cikk egy olyan megoldást mutat be, amelyet az Azure Confidential Computing (ACC) kínál a használatban lévő adatok titkosítására.
Architektúra
Töltse le az architektúra Visio-fájlját.
A diagram az architektúrát vázolja fel. A teljes rendszerben:
- A hálózati kommunikáció tls-titkosítással van titkosítva az átvitel során.
- Az Azure Monitor nyomon követi az összetevők teljesítményét, és Azure Container Registry (ACR) kezeli a megoldás tárolóit.
Munkafolyamat
A megoldás a következő lépésekből áll:
- Egy helyi kórház jegyzője megnyit egy webes portált. A teljes webalkalmazás egy Azure Blob Storage statikus webhely.
- A jegyző adatokat ír be a kórház webes portáljára, amely egy népszerű orvosi platform szállítója által létrehozott Python Flask-alapú webes API-hoz csatlakozik. A SCONE bizalmas számítástechnikai szoftverének egy bizalmas csomópontja védi a betegek adatait. A SCONE egy olyan AKS-fürtön belül működik, amelyen engedélyezve vannak a Szoftverőr-bővítmények (SGX), amelyek segítenek a tároló enklávéban való futtatásában. A webes API bizonyítékkal szolgál arra vonatkozóan, hogy a bizalmas adatok és az alkalmazáskód titkosítva és elkülönítve van egy megbízható végrehajtási környezetben. Ez azt jelenti, hogy az emberek, folyamatok és naplók nem férhetnek hozzá a cleartext adatokhoz vagy az alkalmazáskódhoz.
- A kórház webalkalmazás-ügyfele azt kéri, hogy egy igazolási szolgáltatás (Azure Attestation) ellenőrizze ezt a bizonyítékot, és kap egy aláírt igazolási jogkivonatot, amelyet más alkalmazások ellenőriznek.
- Ha a webes API-nak további összetevőkre (például Redis Cache-re) van szüksége, továbbíthatja az igazolási jogkivonatot annak ellenőrzéséhez, hogy az adatok és az alkalmazáskód eddig biztonságos enklávéban maradtak-e (lásd a 6. lépést az ellenőrzéshez).
- A webes API akár távoli szolgáltatásokat is használhat, például egy külső diagnosztikai szolgáltató által üzemeltetett ML-modellt. Ennek során továbbra is átadja a szükséges enklávék biztonságosságára vonatkozó igazolási jogkivonatokat. A webes API a diagnosztikai szolgáltató infrastruktúrájának igazolási jogkivonatait is megpróbálhatja fogadni és ellenőrizni.
- A távoli infrastruktúra elfogadja az igazolási jogkivonatot az orvosi platform webes API-jából, és az Azure Attestation szolgáltatásban található nyilvános tanúsítvánnyal ellenőrzi. Ha a jogkivonat ellenőrizve van, szinte biztos, hogy az enklávé biztonságos, és sem az adatok, sem az alkalmazáskód nem lett megnyitva az enklávén kívül.
- A diagnosztikai szolgáltató, amely biztos abban, hogy az adatok nincsenek közzétéve, elküldi azokat a saját enklávéjába egy Open Neural Network Exchange (ONNX) futtatókörnyezeti kiszolgálón. Egy AI-modell értelmezi az orvosi képeket, és visszaadja a diagnosztikai eredményeket az orvosi platform bizalmas webes API-alkalmazásának. Innen a szoftver ezután kapcsolatba léphet a betegek nyilvántartásával és/vagy kapcsolatba léphet más kórházi személyzettel.
Összetevők
Azure Blob Storage statikus tartalmakat, például HTML-, CSS-, JavaScript- és képfájlokat szolgál ki közvetlenül egy tárolóból.
Azure Attestation egy egységes megoldás, amely távolról ellenőrzi egy platform megbízhatóságát. Azure Attestation távolról ellenőrzi a platformon futó bináris fájlok integritását is. A Azure Attestation használatával bizalmi kapcsolatot létesíthet a bizalmas alkalmazással.
Azure Kubernetes Service leegyszerűsíti a Kubernetes-fürt üzembe helyezésének folyamatát.
A bizalmas számítási csomópontokat egy adott virtuálisgép-sorozat üzemelteti, amely bizalmas számítási feladatokat futtathat az AKS-en egy hardveralapú megbízható végrehajtási környezetben (TEE) azáltal, hogy lehetővé teszi a felhasználói szintű kód számára a memória privát régióinak, más néven enklávéknak a lefoglalását. A bizalmas számítási csomópontok támogathatják a bizalmas tárolókat vagy az enklávéérzékeny tárolókat.
A SCONE platform egy Azure-partnerfüggetlen szoftverszállító (ISV) megoldás a Scontainből.
A Redis egy nyílt forráskódú, memórián belüli adatstruktúra-tároló.
A Biztonságos tárolókörnyezet (SCONE) támogatja a kubernetes-fürtön futó tárolókban futó bizalmas alkalmazások végrehajtását.
Az ONNX futtatókörnyezeti kiszolgálói enklávé (ONNX RT – Enklávé) egy olyan gazdagép, amely korlátozza az ML-üzemeltető fél számára a következtetési kéréshez és a hozzá tartozó válaszhoz való hozzáférést.
Alternatív megoldások
A ScoNE helyett a Fortanix használatával helyezhet üzembe bizalmas tárolókat a tárolóalapú alkalmazással való használatra. A Fortanix biztosítja a legtágabb alkalmazások futtatásához és kezeléséhez szükséges rugalmasságot: a meglévő alkalmazásokat, az új enklávé natív alkalmazásokat és az előre csomagolt alkalmazásokat.
A Graphene egy könnyű, nyílt forráskódú vendég operációs rendszer. A Graphene képes egyetlen Linux-alkalmazást futtatni egy elkülönített környezetben, a teljes operációs rendszer futtatásához hasonló előnyökkel. Jó eszköztámogatással rendelkezik a meglévő Docker-tárolóalkalmazások graphene védett tárolókká (GSC) való átalakításához.
Forgatókönyv részletei
Amikor a szervezetek együttműködnek, információkat osztanak meg. A legtöbb fél azonban nem szeretne hozzáférést biztosítani más feleknek az adatok minden részéhez. Mechanizmusok léteznek az inaktív és az átvitel alatt álló adatok védelmére. A használatban lévő adatok titkosítása azonban különböző kihívásokkal jár.
A bizalmas számítástechnika és tárolók használatával a megoldás lehetővé teszi, hogy a szolgáltató által üzemeltetett alkalmazások biztonságosan együttműködjenek egy kórházzal és egy külső diagnosztikai szolgáltatóval. Azure Kubernetes Service (AKS) bizalmas számítási csomópontokat üzemeltet. Azure Attestation megbízhatóságot létesít a diagnosztikai szolgáltatóval. Ezeknek az Azure-összetevőknek a használatával az architektúra elkülöníti a kórházi betegek bizalmas adatait, miközben az adott megosztott adatokat a felhőben dolgozzák fel. A kórházi adatok ezután nem érhetők el a diagnosztikai szolgáltató számára. Ezen az architektúrán keresztül a szolgáltató által üzemeltetett alkalmazás a fejlett elemzések előnyeit is kihasználhatja. A diagnosztikai szolgáltató ezeket az elemzéseket gépi tanulási (ML) alkalmazások bizalmas számítástechnikai szolgáltatásaiként teszi elérhetővé.
Lehetséges használati esetek
Számos iparág védi az adatait bizalmas számítástechnika használatával az alábbi célokra:
- Pénzügyi adatok védelme
- A betegadatok védelme
- Gépi tanulási folyamatok futtatása bizalmas információkon
- Algoritmusok végrehajtása számos forrásból származó titkosított adathalmazokon
- Tárolóadatok és kódintegritás védelme
Megfontolandó szempontok
Ezek a szempontok implementálják az Azure Well-Architected-keretrendszer alappilléreit, amelyek a számítási feladatok minőségének javítására használható vezérelvek. További információ: Microsoft Azure Well-Architected Framework.
Az Azure Confidential Computing virtuális gépek (VM-ek) 2. generációs D családi méretekben érhetők el általános célú igények kielégítésére. Ezeket a méreteket együttesen D-sorozat v2 vagy DCsv2 sorozatnak nevezzük. Ez a forgatókönyv Intel SGX-kompatibilis DCs_v2 sorozatú virtuális gépeket használ Gen2 operációsrendszer-lemezképekkel. Bizonyos méretek azonban csak bizonyos régiókban helyezhetők üzembe. További információ : Rövid útmutató: Azure Confidential Computing virtuális gép üzembe helyezése a Marketplace-en és régiónként elérhető termékek.
Költségoptimalizálás
A költségoptimalizálás célja a szükségtelen kiadások csökkentésének és a működési hatékonyság javításának módjainak megvizsgálása. További információ: A költségoptimalizálási pillér áttekintése.
A forgatókönyv futtatásának költségeinek megismeréséhez használja az Azure díjkalkulátorát, amely előre konfigurálja az összes Azure-szolgáltatást.
A Contoso Medical SaaS Platformhoz elérhető egy minta költségprofil a diagramon látható módon. A következő összetevőket tartalmazza:
- Rendszercsomópontkészlet és SGX-csomópontkészlet: nincs lemez, minden rövid élettartamú
- AKS-Load Balancer
- Azure Virtual Network: névleges
- Azure Container Registry
- Tárfiók egyoldalas alkalmazáshoz (SPA)
A profil nem tartalmazza a következő összetevőket:
Azure Attestation szolgáltatás: ingyenes
Azure Monitor-naplók: használatalapú
SCONE ISV-licencelés
A bizalmas adatokkal működő megoldásokhoz szükséges megfelelőségi szolgáltatások, beleértve a következőket:
- Microsoft Defender a Felhőhöz és Microsoft Defender a Kuberneteshez
- Azure DDoS Protection: Network Protection
- Azure Firewall
- Azure Application Gateway és Azure Web Application Firewall
- Azure Key Vault
A forgatókönyv üzembe helyezése
A forgatókönyv üzembe helyezéséhez a következő magas szintű lépések szükségesek:
Helyezze üzembe a bizalmas következtetési kiszolgálót egy meglévő SGX-kompatibilis AKS-fürtön. Erről a lépésről további információt a Bizalmas ONNX következtetési kiszolgáló projektben talál a GitHubon.
Konfigurálja Azure Attestation szabályzatokat.
Helyezzen üzembe egy SGX-kompatibilis AKS-fürtcsomópontkészletet.
Hozzáférés a SconeApps nevű válogatott bizalmas alkalmazásokhoz. A SconeApps egy privát GitHub-adattárban érhető el, amely jelenleg csak kereskedelmi ügyfelek számára érhető el a SCONE Standard Edition kiadáson keresztül. Lépjen a SCONE webhelyre , és lépjen kapcsolatba a vállalattal közvetlenül a szolgáltatási szint eléréséhez.
Telepítse és futtassa a SCONE-szolgáltatásokat az AKS-fürtön.
Telepítse és tesztelje a Flask-alapú alkalmazást az AKS-fürtön.
A webes ügyfél üzembe helyezése és elérése.
Ezek a lépések az enklávétárolókra összpontosítanak. A biztonságos infrastruktúra túlnyúlna ezen a megvalósításon, és megfelelőségi követelményeket tartalmazna, például a HIPAA által megkövetelt további védelmet.
Közreműködők
Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.
Fő szerző:
- Amar Gowda | Fő termékmenedzser
Következő lépések
További információ az Azure bizalmas számítástechnikáról
Tekintse meg a bizalmas ONNX következtetési kiszolgáló projektet a GitHubon.
Minta agyszegmentálási kép a bizalmas következtetési kiszolgálót meghívó delineation függvénnyel való használatra.
