Bizalmas tárolók az Azure-ban

A bizalmas tárolók számos funkciót és képességet biztosítanak a standard tárolók számítási feladatainak további védelméhez, hogy magasabb szintű adatbiztonságot, adatvédelmet és futtatókörnyezeti kódintegritási célokat érjenek el. A bizalmas tárolók olyan hardveralapú megbízható végrehajtási környezetben (T Enterprise kiadás) futnak, amely olyan belső képességeket biztosít, mint az adatintegritás, az adatok bizalmassága és a kódintegritás. Az Azure különböző bizalmas tárolószolgáltatás-lehetőségeken keresztül kínál képességeket az alábbiakban ismertetett módon.

Benefits

Az Azure-beli bizalmas tárolók enklávéalapú T Enterprise kiadás vagy virtuálisgép-alapú T Enterprise kiadás környezetekben futnak. Mindkét üzembehelyezési modell hardveralapú biztosítékokkal segíti a magas elkülönítést és a memóriatitkosítást. A bizalmas számítástechnika segíthet a zéró megbízhatóságú üzembe helyezés biztonsági helyzetében az Azure-felhőben azáltal, hogy titkosítással védi a memóriaterületet.

A bizalmas tárolók tulajdonságai az alábbiak:

• Lehetővé teszi a meglévő szabványos tárolórendszerképek futtatását kódmódosítások nélkül (emeléssel és váltással) a T-ben Enterprise kiadás
• A bizalmas számítástechnikai tudatossággal rendelkező új alkalmazások kiterjesztése/fejlesztése
• Lehetővé teszi a futtatókörnyezet távolról történő megtámadásához a titkosítási bizonyítékot, amely azt jelzi, hogy mi kezdeményezte a biztonságos processzor által jelentett módon
• Erős biztosítékot nyújt az adatok bizalmasságára, kódintegritására és adatintegritására egy felhőalapú környezetben hardveralapú bizalmas számítástechnikai ajánlatokkal
• Segít elkülöníteni a tárolókat más tárolócsoportoktól/podoktól, valamint a virtuálisgép-csomópont operációs rendszer kernelétől

Virtuális gép izolált bizalmas tárolói az Azure Container Instancesben (ACI)

Az ACI-n található bizalmas tárolók lehetővé teszik a tárolók gyors és egyszerű üzembe helyezését natív módon az Azure-ban, valamint a bizalmas számítási képességekkel rendelkező AMD EPYC-processzorok™ révén a használatban lévő adatok és kódok védelmét. Ennek az az oka, hogy a tároló(k) hardveralapú és igazolt megbízható végrehajtási környezetben (T Enterprise kiadás) futnak anélkül, hogy speciális programozási modellt kellene alkalmazniuk, és nincs szükség infrastruktúra-kezelésre. Ezzel az indítással a következőt érheti el:

1. Teljes vendégigazolás, amely a megbízható számítási bázison (TCB) futó összes hardver- és szoftverösszetevő titkosítási mérését tükrözi.
2. Eszközök a megbízható végrehajtási környezetben kikényszerített szabályzatok létrehozásához.
3. Nyílt forráskódú oldalkocsis tárolók a kulcsok biztonságos kiadásához és a titkosított fájlrendszerekhez.

Bizalmas tárolók egy Intel SGX-enklávéban OSS-en vagy partnerszoftveren keresztül

Az Azure Kubernetes Service (AKS) támogatja az Intel SGX bizalmas számítási virtuálisgép-csomópontok hozzáadását egy fürt ügynökkészleteként. Ezek a csomópontok lehetővé teszik a bizalmas számítási feladatok futtatását egy hardveralapú T Enterprise kiadás. A T Enterprise kiadás lehetővé teszi, hogy a tárolók felhasználói szintű kódja lefoglalja a privát memóriaterületeket a kód cpu-val történő közvetlen végrehajtásához. Ezeket a közvetlenül CPU-val végrehajtott magánmemória-régiókat enklávénak nevezzük. Az enklávék segítenek megvédeni az adatok bizalmasságát, az adatintegritást és a kódintegritást az ugyanazon a csomóponton futó egyéb folyamatoktól, valamint az Azure-operátortól. Az Intel SGX végrehajtási modell eltávolítja a vendég operációs rendszer, a gazdagép operációs rendszere és a hipervizor köztes rétegeit is, így csökkentve a támadási felület területét. A csomóponton a tárolónkénti elkülönített végrehajtási modell alapján az alkalmazások közvetlenül futtathatják a processzort, miközben tárolónként titkosítva tartják a speciális memóriablokkot. A bizalmas tárolókkal rendelkező bizalmas számítási csomópontok nagyszerűen összhangban vannak a zéró megbízhatósággal, a biztonsági tervezéssel és a részletes védelmi tárolóstratégiával. Erről a funkcióról itt olvashat bővebben

Kérdése van?

Ha kérdései vannak a tárolóajánlatokkal kapcsolatban, forduljon a következőhöz acconaks@microsoft.com: .

Következő lépések

• AKS-fürt üzembe helyezése Intel SGX bizalmas virtuálisgép-csomópontokkal
• Bizalmas tárolócsoport üzembe helyezése az Azure Container Instances használatával
• Microsoft Azure-igazolás
• Intel SGX bizalmas virtuális gépek
• Azure Kubernetes Service (AKS)