Azure 上的机密容器

机密容器提供一组特性和功能，以进一步保护标准容器工作负载，以实现更高的数据安全性、数据隐私和运行时代码完整性目标。 机密容器在硬件支持的受信任执行环境（T企业版）中运行，提供数据完整性、数据机密性和代码完整性等固有功能。 Azure 通过不同机密容器服务选项提供一系列功能，如下所示。

好处

Azure 上的机密容器在基于 enclave 的 TEE 或基于 VM 的 TEE 环境中运行。 这两种部署模型都有助于通过基于硬件的保障实现高隔离和内存加密。 机密计算可以通过加密保护内存空间，帮助你在 Azure 云中实现零信任部署安全态势。

以下是机密容器的品质：

• 允许在 TEE 中运行没有代码更改的现有标准容器映像（直接迁移）
• 能够扩展/生成具有机密计算意识的新应用程序
• 允许远程挑战运行时环境进行加密证明，证明安全处理器已启动的内容
• 使用基于硬件的机密计算产品/服务在云环境中提供数据机密性、代码完整性和数据完整性的有力保证
• 帮助将容器与其他容器组/Pod 以及 VM 节点 OS 内核隔离开来

Azure 容器实例上的 VM 隔离机密容器 （ACI）

ACI 上的机密容器支持在 Azure 中本机快速轻松地部署容器，并且由于 AMD EPYC™ 处理器具有机密计算功能，能够保护数据和代码的使用。 这是因为容器（s）在基于硬件且经证明的受信任执行环境（T企业版）中运行，而无需采用专用编程模型，无需基础结构管理开销。 通过此启动，你将获得：

1. 完整来宾证明，这反映了受信任计算基础（TCB）中运行的所有硬件和软件组件的加密度量。
2. 用于生成将在受信任执行环境中强制执行的策略的工具。
3. 用于安全密钥发布和加密文件系统的开源 sidecar 容器。

通过 OSS 或合作伙伴软件的 Intel SGX enclave 中的机密容器

Azure Kubernetes 服务 (AKS) 支持将 Intel SGX 机密计算 VM 节点添加为群集中的代理池。 利用这些节点，可以在基于硬件的 TEE 中运行敏感工作负载。 TEE 允许容器中的用户级代码分配内存的专用区域，以便直接通过 CPU 执行代码。 这些直接通过 CPU 执行的专用内存区域称为 enclave。 Enclave 有助于保护数据机密性、数据完整性和代码完整性，使其不受在相同节点上运行的其他进程以及 Azure 运算符的影响。 Intel SGX 执行模型还删除了来宾 OS、主机 OS 和虚拟机监控程序中间层，从而减攻击面。 节点中基于每个容器的硬件独立执行模型允许应用程序直接在 CPU 中执行，同时使每个容器的特殊内存块保持加密。 带有机密容器的机密计算节点是对零信任安全性计划和深层防御容器策略的极佳补充。 在此处了解有关此功能的详细信息

是否有任何问题?

如果对容器产品/服务有疑问，请联系 acconaks@microsoft.com。

后续步骤

• 使用 Intel SGX 机密 VM 节点部署 AKS 群集
• 使用 Azure 容器实例 部署机密容器组
• Microsoft Azure 证明
• Intel SGX 机密虚拟机
• Azure Kubernetes 服务 (AKS)