Общедоступная предварительная версия: Конфиденциальные контейнеры в ACI

Конфиденциальные контейнеры в ACI, которые теперь предоставляются в режиме общедоступной предварительной версии, позволяют запускать контейнеры в доверенной среде выполнения (TEE), которая обеспечивает аппаратную защиту конфиденциальности и целостности для рабочих нагрузок в этих контейнерах. В настоящее время TEE реализованы на оборудовании Secure Nested Paging AMD.   

Поддержка конфиденциальных контейнеров в ACI реализована через новую ценовую категорию, которую можно выбрать при развертывании рабочей нагрузки. Она предоставляет следующие преимущества для обработки конфиденциальных данных рабочих нагрузок:  

• возможность переместить рабочие нагрузки в конфиденциальную среду методом lift-and-shift без необходимости отдельно обрабатывать какие-либо зависимости от библиотек для конфиденциальных вычислений;
• шифрование данных в памяти на основе аппаратного ключа, который выделяется специально для каждой группы контейнеров, что помогает защититься от атак вредоносных компонентов гипервизора или ОС; 
• поддержка удаленной аттестации, которая позволяет проверяющей стороне убедиться, что служба работает в среде TEE, прежде чем начинать обработку конфиденциальных данных. Для поддержки конфиденциальных контейнеров в ACI специальный агент проверяет подлинность компонентов оборудования и приложений через службу удаленной аттестации, прежде чем передавать любые конфиденциальные данные в среду TEE.

Дополнительная информация об общедоступной предварительной версии этой возможности представлена в объявлении блога и в документации.