Azure'da gizli kapsayıcılar
Gizli kapsayıcılar, daha yüksek veri güvenliği, veri gizliliği ve çalışma zamanı kod bütünlüğü hedeflerine ulaşmak için standart kapsayıcı iş yüklerinizin güvenliğini daha da sağlamak için bir dizi özellik ve özellik sağlar. Gizli kapsayıcılar, veri bütünlüğü, veri gizliliği ve kod bütünlüğü gibi iç özellikler sağlayan donanım destekli Güvenilir Yürütme Ortamı'nda (TEE) çalışır. Azure, aşağıda açıklandığı gibi farklı gizli kapsayıcı hizmeti seçenekleriyle bir yetenek portföyü sunar.
Sosyal haklar
Azure'da gizli kapsayıcılar, kapanım tabanlı TEE veya VM tabanlı TEE ortamlarında çalışır. Her iki dağıtım modeli de donanım tabanlı güvenceler aracılığıyla yüksek yalıtım ve bellek şifrelemesi sağlamaya yardımcı olur. Gizli bilgi işlem, şifreleme aracılığıyla bellek alanınızı koruyarak Azure bulutunda sıfır güven dağıtımı güvenlik duruşunuzda size yardımcı olabilir.
Gizli kapsayıcıların nitelikleri aşağıda verilmiştir:
- Bir TEE içinde kod değişikliği (lift-and-shift) olmadan mevcut standart kapsayıcı görüntülerini çalıştırmaya izin verir
- Gizli bilgi işlem farkındalığı olan yeni uygulamaları genişletebilme/oluşturabilme
- Güvenli işlemci tarafından bildirilenin başlatıldığını belirten şifreleme kanıtı için çalışma zamanı ortamını uzaktan sınamaya olanak tanır
- Donanım tabanlı gizli bilgi işlem teklifleri ile bulut ortamında veri gizliliği, kod bütünlüğü ve veri bütünlüğü konusunda güçlü güvenceler sağlar
- Kapsayıcılarınızı diğer kapsayıcı gruplarından/podlarından ve VM düğümü işletim sistemi çekirdeğinden yalıtmanıza yardımcı olur
Azure Container Instances'ta (ACI) VM Yalıtılmış Gizli kapsayıcılar
ACI'daki gizli kapsayıcılar, kapsayıcıların Azure'da yerel olarak hızlı ve kolay bir şekilde dağıtılabilmesini ve gizli bilgi işlem özelliklerine sahip AMD EPYC™ işlemcileri sayesinde kullanımdaki verileri ve kodları koruma olanağı sağlar. Bunun nedeni kapsayıcılarınızın özel bir programlama modeli benimsemeye gerek kalmadan ve altyapı yönetimi ek yükü olmadan donanım tabanlı ve doğrulanmış bir Güvenilen Yürütme Ortamı'nda (TEE) çalışmasıdır. Bu lansmanla aşağıdakilere sahip olursunuz:
- Güvenilen Bilgi İşlem Tabanınızda (TCB) çalışan tüm donanım ve yazılım bileşenlerinin şifreleme ölçümünü yansıtan tam konuk kanıtlama.
- Güvenilen Yürütme Ortamı'nda zorunlu kılınacak ilkeler oluşturmak için araçlar.
- Güvenli anahtar sürümü ve şifrelenmiş dosya sistemleri için açık kaynak sepet kapsayıcıları.
İşletim sistemi veya iş ortağı yazılımı aracılığıyla Intel SGX kapanımdaki gizli kapsayıcılar
Azure Kubernetes Service (AKS), Intel SGX gizli bilgi işlem VM düğümlerini bir kümeye aracı havuzları olarak eklemeyi destekler. Bu düğümler, donanım tabanlı bir TEE içinde hassas iş yüklerini çalıştırmanıza olanak sağlar. TEE'ler, kodu doğrudan CPU ile yürütmek için kapsayıcılardan gelen kullanıcı düzeyinde kodun özel bellek bölgelerini ayırmasına olanak tanır. Doğrudan CPU ile yürütülen bu özel bellek bölgeleri kuşatma olarak adlandırılır. Kuşatmalar, azure işlecinin yanı sıra aynı düğümlerde çalışan diğer işlemlerden veri gizliliğinin, veri bütünlüğünün ve kod bütünlüğünün korunmasına yardımcı olur. Intel SGX yürütme modeli konuk işletim sistemi, Konak işletim sistemi ve Hiper yöneticinin ara katmanlarını da kaldırarak saldırı yüzeyi alanını azaltır. Bir düğümdeki kapsayıcı başına donanım tabanlı yalıtılmış yürütme modeli, uygulamaların cpu ile doğrudan yürütülmesini sağlarken, kapsayıcı başına özel bellek bloğunu şifrelenmiş halde tutar. Gizli kapsayıcılara sahip gizli bilgi işlem düğümleri, sıfır güven, güvenlik planlaması ve derinlemesine savunma kapsayıcı stratejinize harika bir ek sağlar. Bu özellik hakkında daha fazla bilgiyi burada bulabilirsiniz
Sorularınız var mı?
Kapsayıcı teklifleri hakkında sorularınız varsa lütfen adresine acconaks@microsoft.comulaşın.