コンフィデンシャル コンピューティング ソリューションの構築
Azure Confidential Computing では、機密性の高いソリューションを構築するためのさまざまなオプションを提供します。 オプションの範囲は、既存のアプリケーションの "リフト アンド シフト" シナリオを有効にすることから、セキュリティのさまざまな機能を完全に制御することに至ります。 これらの機能には、アクセス レベルの制御が含まれます。 ホスト プロバイダーまたはゲスト オペレーターのアクセス レベルをデータとコードに設定します。 また、クラウドで実行されているワークロードの整合性を損なう可能性のある他のルートキットまたはマルウェアのアクセスを制御することもできます。
ソリューション
セキュア エンクレーブや機密性の高い仮想マシンなどのテクノロジによって、お客様は、機密性の高いソリューションを構築する際に採用するアプローチを選択できます。
- ソース コードにアクセスできない既存のアプリケーションでは、Azure Confidential Computing プラットフォームへのオンボードを容易にするために、AMD SEV-SNP テクノロジに基づく機密性の高い VM の恩恵を受けることがあります。
- 任意の信頼ベクトルから保護するための専用コードを含む高度なワークロードでは、セキュリティで保護されたアプリケーション エンクレーブ テクノロジのメリットが得られる可能性があります。 現在 Azure では、Intel SGX に基づいて VM でアプリケーション エンクレーブを提供しています。 Intel SGX では、ハードウェアで暗号化されたメモリ領域で実行されるデータとコードを保護します。 通常、これらのアプリケーションでは、オープンソース フレームワークを使用して取得される、構成証明済みのセキュア エンクレーブとの通信が必要です。
- Azure Kubernetes Service で有効になっている機密コンテナーで実行されているコンテナー化されたソリューションは、バランスの取れた機密性のアプローチを求めているお客様に適している可能性があります。 このようなシナリオでは、限定的な変更で既存のアプリをパッケージ化してコンテナーにデプロイしながら、クラウド サービス プロバイダーと管理者からの完全なセキュリティの分離を実現できます。
詳細情報
エンクレーブおよび隔離された環境の利点を使用するには、コンフィデンシャル コンピューティングをサポートするツールを使用する必要があります。 エンクレーブ アプリケーション開発をサポートするさまざまなツールが存在します。 詳細については、エンクレーブ アプリケーション開発に関するページを参照してください。
仮想マシンの Intel SGX エンクレーブ アプリケーション用ソリューションを構築するためのオープンソース ツールについて説明します。
機密コンテナー用のパートナーとオープンソース ツールを使用します。 これらのツールの一部を Azure Kubernetes ワークロードに使用することもできます。