Общедоступная предварительная версия: Конфиденциальные контейнеры в ACI
Дата публикации: 01 марта, 2023
Конфиденциальные контейнеры в ACI, которые теперь предоставляются в режиме общедоступной предварительной версии, позволяют запускать контейнеры в доверенной среде выполнения (TEE), которая обеспечивает аппаратную защиту конфиденциальности и целостности для рабочих нагрузок в этих контейнерах. В настоящее время TEE реализованы на оборудовании Secure Nested Paging AMD.
Поддержка конфиденциальных контейнеров в ACI реализована через новую ценовую категорию, которую можно выбрать при развертывании рабочей нагрузки. Она предоставляет следующие преимущества для обработки конфиденциальных данных рабочих нагрузок:
- возможность переместить рабочие нагрузки в конфиденциальную среду методом lift-and-shift без необходимости отдельно обрабатывать какие-либо зависимости от библиотек для конфиденциальных вычислений;
- шифрование данных в памяти на основе аппаратного ключа, который выделяется специально для каждой группы контейнеров, что помогает защититься от атак вредоносных компонентов гипервизора или ОС;
- поддержка удаленной аттестации, которая позволяет проверяющей стороне убедиться, что служба работает в среде TEE, прежде чем начинать обработку конфиденциальных данных. Для поддержки конфиденциальных контейнеров в ACI специальный агент проверяет подлинность компонентов оборудования и приложений через службу удаленной аттестации, прежде чем передавать любые конфиденциальные данные в среду TEE.
Дополнительная информация об общедоступной предварительной версии этой возможности представлена в объявлении блога и в документации.