使用 Azure Red Hat OpenShift 的机密容器（预览版）

机密容器提供了强大的解决方案来保护云环境中的敏感数据。 通过使用基于硬件的受信任执行环境 (TEE)，机密容器在主机系统内提供安全飞地，将应用程序及其数据与潜在威胁隔离。 这种隔离确保即使在主机系统受到威胁的情况下，机密数据也仍然受到保护。

本文介绍了使用机密容器保护敏感数据的优势，并说明了机密容器在 Azure Red Hat OpenShift 中如何发挥作用。

使用机密容器的优势

机密容器有几个关键优势：

• 增强的数据安全性：通过将应用程序及其数据隔离在安全飞地内，可以确保即使在主机系统受到威胁的情况下，机密容器也可以保护敏感信息免遭未经授权的访问。

• 法规符合性：医疗保健、金融和政府等行业都受到严格的数据隐私法规的约束。 机密容器可以通过提供一个用于保护敏感数据的强大机制来帮助组织满足这些符合性要求。

• 增强信任和信心：机密容器可以通过展示对数据安全和隐私的承诺来培养云服务提供商与其客户之间的信任。

• 降低数据泄露风险：使用机密容器可以显著降低数据泄露风险，而数据泄露可能会给组织带来毁灭性的后果。

• 提高效率：机密容器可以为运行敏感工作负荷提供安全高效的环境，从而简化应用程序的开发和部署。

典型用例

下表描述了部署机密容器的最常见用例。

机密容器的工作原理

机密容器是 Red Hat OpenShift 沙盒容器的一项功能，它为运行容器化应用程序提供了一个隔离的环境。 机密容器的核心是机密虚拟机 (CVM)。 该专用虚拟机在受信任执行环境 (TEE) 中运行，为应用程序及其关联的数据建立了一个安全飞地。 TEE 是基于硬件的隔离环境，具有增强的安全功能，可确保即使在主机系统受到威胁的情况下，驻留在 CVM 中的数据也仍然受到保护。

Azure Red Hat OpenShift 充当业务流程协调程序，通过使用虚拟机来监督对工作负荷 (Pod) 进行的沙盒处理。 使用 CVM 时，Azure Red Hat OpenShift 为工作负荷提供机密容器功能。 一旦创建了机密容器工作负荷，Azure Red Hat OpenShift 就会将其部署到在 TEE 内执行的 CVM 中，为敏感数据提供安全的、隔离的环境。

此图显示了在 ARO 群集上使用机密容器的三个主要步骤：

1. OpenShift Sandboxed Containers Operator 部署在 ARO 群集上。
2. ARO 工作器节点上的 Kata 运行时容器使用 cloud-api-adapter 在机密 VM 上创建对等 Pod。
3. 对等 Pod 上的远程证明代理会在 kata-agent 部署容器映像之前启动容器映像的证明，确保映像的完整性。

认证

证明是机密容器的基本组成部分，特别是在零信任安全性上下文中。 在将工作负荷部署为机密容器工作负荷之前，必须验证执行工作负荷时所在的 TEE 的可信度。 证明可确保 TEE 确实是安全的，并且有能力保护机密数据。

托管方项目

托管方项目提供了机密容器所必需的证明功能。 它执行证明操作并在验证成功后将机密传递给 TEE。 托管方的关键组件包括：

• 托管方代理：这些组件在 CVM 内运行，包括负责传输证据以证实环境的可信度的证明代理 (AA)。

• Key Broker Service (KBS)：此服务作为远程证明的入口点，将证据转发给证明服务 (AS) 进行验证。

• 证明服务 (AS)：此服务验证 TEE 证据。

Confidential Compute Attestation Operator

Confidential Compute Attestation Operator 是 Azure Red Hat OpenShift 机密容器解决方案的一个不可或缺的组成部分，有助于在 Azure Red Hat OpenShift 群集内部署和管理托管方服务。 它简化了托管方服务的配置和机密容器工作负荷的机密管理。

统一的透视

典型的机密容器部署涉及 Azure Red Hat OpenShift 与部署在单独的受信任环境中的 Confidential Compute Attestation Operator 的协同工作。 工作负荷在某个在 TEE 内部运行的 CVM 中执行，受益于 TEE 提供的加密内存和完整性保证。 驻留在 CVM 内的托管方代理会执行证明并获取必要的机密，从而保障数据的安全性和机密性。

后续步骤

现在你已经了解机密容器的优势和各种用例，接下来请查看在 Azure Red Hat OpenShift (ARO) 群集中部署机密容器。