Contenitori riservati in Azure

I contenitori riservati offrono un set di funzionalità e funzionalità per proteggere ulteriormente i carichi di lavoro dei contenitori standard per ottenere obiettivi di sicurezza dei dati, privacy dei dati e integrità del codice di runtime più elevati. I contenitori riservati vengono eseguiti in un ambiente di esecuzione attendibile supportato dall'hardware (T edizione Enterprise) che offre funzionalità intrinseche come l'integrità dei dati, la riservatezza dei dati e l'integrità del codice. Azure offre un portfolio di funzionalità tramite diverse opzioni del servizio contenitore riservato, come illustrato di seguito.

Vantaggi

I contenitori riservati in Azure vengono eseguiti all'interno di ambienti T edizione Enterprise o T edizione Enterprise basati su enclave. Entrambi i modelli di distribuzione consentono di ottenere l'isolamento elevato e la crittografia della memoria tramite garanzie basate su hardware. Il confidential computing consente di gestire il comportamento di sicurezza della distribuzione senza attendibilità nel cloud di Azure proteggendo lo spazio di memoria tramite la crittografia.

Di seguito sono riportate le qualità dei contenitori riservati:

• Consente l'esecuzione di immagini contenitore standard esistenti senza modifiche al codice (lift-and-shift) all'interno di un T edizione Enterprise
• Possibilità di estendere/creare nuove applicazioni con riconoscimento del confidential computing
• Consente di sfidare in remoto l'ambiente di runtime per la prova crittografica che indica ciò che è stato avviato come segnalato dal processore sicuro
• Offre solide garanzie di riservatezza dei dati, integrità del codice e integrità dei dati in un ambiente cloud con offerte di confidential computing basate su hardware
• Consente di isolare i contenitori da altri gruppi/pod di contenitori, nonché dal kernel del sistema operativo del nodo della macchina virtuale

Contenitori riservati isolati della macchina virtuale in Istanze di Azure Container (ACI)

I contenitori riservati in ACI consentono una distribuzione rapida e semplice dei contenitori in modo nativo in Azure e con la possibilità di proteggere i dati e il codice in uso grazie ai processori AMD EPYC™ con funzionalità di confidential computing. Ciò è dovuto al fatto che i contenitori vengono eseguiti in un ambiente di esecuzione attendibile basato su hardware (T edizione Enterprise) senza dover adottare un modello di programmazione specializzato e senza sovraccarico di gestione dell'infrastruttura. Con questo lancio si ottiene:

1. Attestazione guest completa, che riflette la misurazione crittografica di tutti i componenti hardware e software in esecuzione all'interno della TCB (Trusted Computing Base).
2. Strumenti per generare criteri che verranno applicati nell'ambiente di esecuzione attendibile.
3. Contenitori sidecar open source per il rilascio di chiavi sicure e i file system crittografati.

Contenitori riservati in un enclave Intel SGX tramite OSS o software partner

servizio Azure Kubernetes supporta l'aggiunta Intel SGX confidential computing dei nodi della macchina virtuale come pool di agenti in un cluster. Questi nodi consentono di eseguire carichi di lavoro sensibili all'interno di un T edizione Enterprise basato su hardware. T edizione Enterprise consente al codice a livello di utente dai contenitori di allocare aree private di memoria per eseguire direttamente il codice con LA CPU. Queste aree di memoria privata eseguite direttamente con la CPU sono denominate enclave. Le enclave consentono di proteggere la riservatezza dei dati, l'integrità dei dati e l'integrità del codice da altri processi in esecuzione sugli stessi nodi, nonché sull'operatore di Azure. Il modello di esecuzione Intel SGX rimuove anche i livelli intermedi del sistema operativo guest, del sistema operativo host e dell'hypervisor riducendo così la superficie di attacco. Il modello di esecuzione isolato basato su hardware per contenitore in un nodo consente alle applicazioni di eseguire direttamente con la CPU, mantenendo il blocco speciale di memoria crittografato per ogni contenitore. I nodi di confidential computing con contenitori riservati sono un'ottima aggiunta alla strategia zero-trust, alla pianificazione della sicurezza e alla difesa avanzata dei contenitori. Altre informazioni su questa funzionalità sono disponibili qui

Domande?

Per domande sulle offerte di contenitori, contattare acconaks@microsoft.com.

Passaggi successivi

• Distribuire un cluster del servizio Azure Kubernetes con nodi di macchine virtuali riservate Intel SGX
• Distribuire un gruppo di contenitori riservato con Istanze di Azure Container
• Microsoft attestazione di Azure
• Intel SGX Confidential Macchine virtuali
• Servizio Azure Kubernetes (AKS)