Azure 容器实例上的机密容器使客户能够在基于硬件且经过证明的受信任执行环境 (TEE) 中运行 Linux 容器。 客户可以直接迁移其容器化 Linux 应用程序或构建新的机密计算应用程序,而无需采用任何专用编程模型即可实现 TEE 中的机密性优势。 Azure 容器实例上的机密容器保护正在使用的数据,并加密内存中使用的数据。 Azure 容器实例通过可验证的执行策略和来宾证明的可验证硬件信任根保证来扩展此功能。
Azure 容器实例上的机密容器的功能
“直接迁移”应用程序
客户可以直接迁移其容器化 Linux 应用程序或构建新的机密计算应用程序,而无需采用专用编程模型即可实现 TEE 中的机密性优势。
基于硬件的受信任执行环境
Azure 容器实例上的机密容器部署在具有 Hyper-V 隔离 TEE 的容器组中,其中包括由支持 AMD SEV-SNP 的处理器生成和管理的内存加密密钥。 内存中使用的数据将使用此密钥进行加密,以帮助防止数据重播、损坏、重新映射和基于别名的攻击。
可验证的执行策略
Azure 容器实例上的机密容器可以使用可验证的执行策略运行,这些策略使客户能够控制允许在 TEE 中运行的软件和操作。 这些执行策略有助于防止恶意攻击者创建可能泄露敏感数据的意外应用程序修改。 客户通过提供的
工具
创作执行策略,并通过加密证明来验证这些策略。
远程来宾证明
ACI 上的机密容器支持远程来宾证明,该证明用于在与信赖方创建安全通道之前验证容器组的可信度。 容器组可以生成 SNP 硬件证明报告,该报告由硬件签名,包含有关硬件和软件的信息。 然后,在将任何敏感数据发布到 TEE 之前,Microsoft Azure 证明服务可以通过
开源挎斗应用程序
或其他证明服务来验证这份生成的硬件证明报告。
Azure 容器实例上的机密容器提供用于证明和安全密钥发布的挎斗开放源代码容器。 此挎斗实例化 Web 服务器,该服务器会公开 REST API,以便其他容器可以通过 POST 方法检索硬件证明报告或 Microsoft Azure 证明令牌。 该挎斗与 Azure 密钥保管库集成,以便在验证完成后将密钥发布到容器组。
