Contêineres confidenciais no Azure

Os contêineres confidenciais fornecem um conjunto de recursos e capacidades para proteger ainda mais suas cargas de trabalho de contêiner padrão para alcançar metas mais altas de segurança de dados, privacidade de dados e integridade de código de tempo de execução. Os contêineres confidenciais são executados em um TEE (Trusted Execution Environment, ambiente de execução confiável) com suporte de hardware que fornece recursos intrínsecos, como integridade de dados, confidencialidade de dados e integridade de código. O Azure oferece um portfólio de recursos por meio de diferentes opções de serviço de contêiner confidencial, conforme discutido abaixo.

Benefícios

Os contêineres confidenciais no Azure são executados em ambientes TEE baseados em enclave ou TEE baseados em VM. Ambos os modelos de implantação ajudam a obter alto isolamento e criptografia de memória por meio de garantias baseadas em hardware. A computação confidencial pode ajudá-lo com sua postura de segurança de implantação de confiança zero na nuvem do Azure, protegendo seu espaço de memória por meio da criptografia.

Veja abaixo as características de contêineres confidenciais:

• Permite a execução de imagens de contêiner padrão existentes, sem alterações de código (lift-and-shift) em um TEE
• Capacidade de ampliar/criar novos aplicativos com reconhecimento de computação confidencial
• Permite desafiar remotamente o ambiente de tempo de execução para prova criptográfica que indica o que foi iniciado conforme relatado pelo processador seguro
• Fornece fortes garantias de confidencialidade de dados, integridade de código e integridade de dados em um ambiente de nuvem com ofertas de computação confidencial baseadas em hardware
• Ajuda a isolar os contêineres em relação a outros grupos de contêineres/pods, bem como em relação ao kernel do SO do nó da VM

Contêineres confidenciais isolados de VM em instâncias de contêiner do Azure (ACI)

Os contêineres confidenciais na ACI permitem a implantação rápida e fácil de contêineres nativamente no Azure e com a capacidade de proteger dados e códigos em uso graças aos processadores AMD EPYC™ com recursos de computação confidenciais. Isso ocorre porque o(s) contêiner(es) seu(s) contêiner(es) é executado em um TEE (Trusted Execution Environment, ambiente de execução confiável) baseado em hardware e atestado sem a necessidade de adotar um modelo de programação especializado e sem sobrecarga de gerenciamento de infraestrutura. Com este lançamento você obtém:

1. Atestado de convidado completo, que reflete a medição criptográfica de todos os componentes de hardware e software em execução na sua Base de Computação Confiável (TCB).
2. Ferramentas para gerar políticas que serão aplicadas no Ambiente de Execução Confiável.
3. Contêineres sidecar de código aberto para liberação segura de chaves e sistemas de arquivos criptografados.

Contêineres confidenciais em um enclave Intel SGX por meio do OSS ou de software de parceiro

O AKS (Serviço de Kubernetes do Azure) dá suporte à adição de nós de VM de computação confidencial do Intel SGX como pools de agentes em um cluster. Esses nós permitem executar cargas de trabalho confidenciais em um TEE baseado em hardware. Os TEEs permitem que um código em nível de usuário de contêineres aloque regiões privadas de memória para executar o código diretamente na CPU. Essas regiões de memória privada que são executadas diretamente na CPU são chamadas de enclaves. Os enclaves ajudam a proteger a integridade e a confidencialidade dos dados, bem como a integridade do código contra outros processos em execução nos mesmos nós, bem como no operador do Azure. O modelo de execução do Intel SGX também remove camadas intermediárias do SO Convidado, do SO Host e do Hipervisor, reduzindo a área da superfície de ataque. O modelo de execução isolada por contêiner baseado em hardware em um nó permite que aplicativos sejam executados diretamente na CPU, mantendo um bloco especial de memória criptografada por contêiner. Os nós de computação confidencial com contêineres confidenciais são um excelente complemento para um planejamento de segurança de confiança zero e uma estratégia de contêiner de defesa completa. Saiba mais sobre essa funcionalidade aqui

Alguma dúvida?

Se você tiver dúvidas sobre as ofertas de contêiner, entre em contato com acconaks@microsoft.com.

Próximas etapas

• Implantar cluster do AKS com Nós de VM Confidencial Intel SGX
• Implantar grupo de contêineres confidenciais com instâncias de contêiner do Azure
• Atestado do Microsoft Azure
• Máquinas Virtuais Confidenciais Intel SGX
• AKS (Serviço de Kubernetes do Azure)