Kontainer rahasia di Azure
Kontainer rahasia menyediakan serangkaian fitur dan kemampuan untuk lebih mengamankan beban kerja kontainer standar Anda untuk mencapai tujuan keamanan data, privasi data, dan integritas kode runtime yang lebih tinggi. Kontainer rahasia berjalan di Trusted Execution Environment (TEE) yang didukung perangkat keras yang menyediakan kemampuan intrinsik seperti integritas data, kerahasiaan data, dan integritas kode. Azure menawarkan portofolio kemampuan melalui opsi layanan kontainer rahasia yang berbeda seperti yang dibahas di bawah ini.
Keuntungan
Kontainer rahasia di Azure berjalan dalam lingkungan TEE berbasis TEE atau VM berbasis enklave. Kedua model penyebaran membantu mencapai isolasi tinggi dan enkripsi memori melalui jaminan berbasis perangkat keras. Komputasi rahasia dapat membantu Anda dengan postur keamanan penyebaran nol kepercayaan Anda di cloud Azure dengan melindungi ruang memori Anda melalui enkripsi.
Di bawah ini adalah kualitas kontainer rahasia:
- Memungkinkan menjalankan gambar kontainer standar yang ada tanpa perubahan kode (lift-and-shift) dalam TEE
- Kemampuan untuk memperluas/membangun aplikasi baru yang memiliki kesadaran komputasi rahasia
- Memungkinkan untuk menantang lingkungan runtime dari jarak jauh untuk bukti kriptografi yang menyatakan apa yang dimulai seperti yang dilaporkan oleh prosesor aman
- Memberikan jaminan yang kuat tentang kerahasiaan data, integritas kode, dan integritas data di lingkungan cloud dengan penawaran komputasi rahasia berbasis perangkat keras
- Membantu mengisolasi kontainer Anda dari grup/pod kontainer lain, serta kernel OS simpul VM
Kontainer Rahasia Terisolasi VM pada Azure Container Instances (ACI)
Kontainer rahasia pada ACI memungkinkan penyebaran kontainer yang cepat dan mudah secara asli di Azure dan dengan kemampuan untuk melindungi data dan kode yang digunakan berkat prosesor AMD EPYC™ dengan kemampuan komputasi rahasia. Ini karena kontainer Anda berjalan di Trusted Execution Environment (TEE) berbasis perangkat keras dan dibuktikan tanpa perlu mengadopsi model pemrograman khusus dan tanpa overhead manajemen infrastruktur. Dengan peluncuran ini Anda mendapatkan:
- Pengesahan tamu penuh, yang mencerminkan pengukuran kriptografi semua komponen perangkat keras dan perangkat lunak yang berjalan dalam Basis Komputasi Tepercaya (TCB) Anda.
- Alat untuk menghasilkan kebijakan yang akan diberlakukan di Lingkungan Eksekusi Tepercaya.
- Kontainer sidecar sumber terbuka untuk rilis kunci aman dan sistem file terenkripsi.
Kontainer rahasia dalam enklave Intel SGX melalui OSS atau perangkat lunak mitra
Azure Kubernetes Service (AKS) mendukung penambahan simpul VM komputasi rahasia Intel SGX sebagai kumpulan agen dalam kluster. Simpul ini memungkinkan Anda menjalankan beban kerja sensitif dalam TEE berbasis perangkat keras. TEE memungkinkan kode tingkat pengguna dari kontainer untuk mengalokasikan wilayah memori privat untuk menjalankan kode dengan CPU secara langsung. Wilayah memori privat yang dieksekusi langsung dengan CPU ini disebut enklave. Enklave membantu melindungi kerahasiaan data, integritas data, dan integritas kode dari proses lain yang berjalan pada simpul yang sama, serta operator Azure. Model eksekusi Intel SGX juga menghapus lapisan menengah OS Tamu, OS Host, dan Hypervisor sehingga mengurangi area permukaan serangan. Model eksekusi terisolasi per kontainer berbasis perangkat keras dalam simpul memungkinkan aplikasi untuk langsung dijalankan dengan CPU, sambil menjaga blok memori khusus terenkripsi per kontainer. Simpul komputasi rahasia dengan kontainer rahasia adalah tambahan yang bagus untuk strategi kontainer zero-trust, perencanaan keamanan, dan pertahanan mendalam Anda. Pelajari selengkapnya tentang kemampuan ini di sini
Pertanyaan?
Jika Anda memiliki pertanyaan tentang penawaran kontainer, silakan hubungi acconaks@microsoft.com.