Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A computação confidencial em Aplicativos de Contêiner do Azure ajuda a proteger cargas de trabalho em contêineres enquanto os dados estão sendo processados. Neste artigo, você aprenderá quando usar a computação confidencial, como ela funciona com perfis de carga de trabalho dedicados, como habilitá-la para um aplicativo de contêiner e como verificar se seu aplicativo é executado na infraestrutura de computação confidencial.
Importante
No momento, a computação confidencial está disponível em versão prévia e tem suporte apenas em regiões específicas e configurações de perfil de carga de trabalho.
Benefícios da computação confidencial no Aplicativos de Contêiner do Azure
A computação confidencial complementa a criptografia de dados em repouso e em trânsito do Azure, protegendo os dados enquanto estão sendo processados. Ao executar cargas de trabalho em um perfil de carga de trabalho de computação confidencial, você obtém:
- Isolamento baseado em hardware usando TEEs (Ambientes de Execução Confiável).
- Criptografia de dados na memória enquanto as cargas de trabalho estão em execução.
- Proteção contra acesso não autorizado a dados em uso, incluindo o acesso de operadores de infraestrutura.
A plataforma Azure e a infraestrutura de VM confidencial subjacente fornecem e impõem essas garantias. Para obter mais informações, consulte Computação confidencial do Azure.
Quando usar a computação confidencial
Use a computação confidencial em Aplicativos de Contêiner do Azure quando:
- Suas cargas de trabalho processam dados altamente confidenciais ou regulamentados.
- Proteger dados enquanto eles estão sendo processados é um requisito.
- Você deseja os benefícios de segurança da computação confidencial sem gerenciar a infraestrutura ou modificar o código do aplicativo.
Como funciona a computação confidencial
Você habilita a computação confidencial no nível do perfil de carga de trabalho, e não no nível do aplicativo de contêiner individual nem da revisão. Quando você adiciona um perfil de carga de trabalho dedicado da série DC ao seu ambiente, todos os aplicativos de contêiner atribuídos a esse perfil são executados automaticamente em uma infraestrutura de computação confidencial apoiada por SKUs de VM confidenciais.
Você não precisa definir nenhuma configuração por aplicativo ou por contêiner. Implante aplicativos de contêiner usando as mesmas imagens, ferramentas e os mesmos fluxos de trabalho que cargas de trabalho não confidenciais. Você não precisa de configuração especial de ambiente de execução de contêiner nem de SDKs.
Prerequisites
Antes de habilitar a computação confidencial, verifique se você tem os seguintes itens:
- Um ambiente Aplicativos de Contêiner do Azure em uma região com suporte.
- Um perfil de carga de trabalho dedicado que usa um tipo de perfil de carga de trabalho da série DC.
- Um aplicativo de contêiner com o perfil de carga de trabalho da série DC atribuído.
Habilitar a computação confidencial
O exemplo a seguir cria um ambiente de Aplicativos de Contêiner com um perfil de carga de trabalho da série DC e implanta um aplicativo de contêiner atribuído a esse perfil:
Crie o ambiente com um perfil de carga de trabalho da série DC.
az containerapp env create \ --name <ENVIRONMENT_NAME> \ --resource-group <RESOURCE_GROUP_NAME> \ --location <SUPPORTED_REGION> \ --workload-profile-type DC4 \ --workload-profile-name my-wp-confidentialCrie o aplicativo de contêiner e atribua-o ao perfil de carga de trabalho.
az containerapp create \ --name <CONTAINER_APP_NAME> \ --resource-group <RESOURCE_GROUP_NAME> \ --environment <ENVIRONMENT_NAME> \ --workload-profile-name my-wp-confidential \ --image <CONTAINER_IMAGE>
O --workload-profile-name my-wp-confidential parâmetro atribui o aplicativo ao perfil de carga de trabalho da série DC, que habilita a computação confidencial.
Para obter etapas sobre como adicionar e gerenciar perfis de carga de trabalho, consulte Manage perfis de carga de trabalho com o CLI do Azure.
Verificar sua configuração de computação confidencial
Use esta verificação rápida para confirmar se o aplicativo está atribuído a um perfil de carga de trabalho da série DC.
CLI do Azure
Obtenha o perfil de carga de trabalho atribuído ao aplicativo de contêiner.
az containerapp show \ --name <CONTAINER_APP_NAME> \ --resource-group <RESOURCE_GROUP_NAME> \ --query properties.workloadProfileName \ -o tsvExemplo de saída:
my-wp-confidentialObtenha o tipo de perfil de carga de trabalho para esse perfil no ambiente.
az containerapp env workload-profile list \ --name <ENVIRONMENT_NAME> \ --resource-group <RESOURCE_GROUP_NAME> \ --query "[].{name:name,workloadProfileType:workloadProfileType}"Exemplo de saída:
[ { "name": "my-wp-confidential", "workloadProfileType": "DC4" } ]Neste exemplo,
my-wp-confidentialé um nome de perfil de exemplo. Seu nome de perfil pode ser diferente.
Se o perfil atribuído ao seu aplicativo tiver um workloadProfileType valor que começa com DC, como DC4 ou DC8, o aplicativo está em execução na infraestrutura de computação confidencial.
portal do Azure
- No portal do Azure, acesse seu aplicativo de contêiner.
- Na página Visão geral , observe o valor do ambiente e vá para esse ambiente.
- No ambiente de Aplicativos de Contêiner, vá para Perfis de carga de trabalho.
- Localize o perfil de carga de trabalho usado pelo aplicativo e verifique se o tipo de perfil e o tamanho começam com
DC, comoDC4ouDC8.
Perfis de carga de trabalho com suporte
A computação confidencial está disponível somente em perfis de carga de trabalho dedicados da série DC. Os tamanhos com suporte incluem:
- DC4
- DC8
- DC16
- DC32
- DC48
- DC64
- DC96
A disponibilidade desses perfis de carga de trabalho depende da região. Nem todas as regiões com perfis da série DC dão suporte à computação confidencial. Para obter a lista atual de regiões em que a computação confidencial está disponível, consulte regiões com suporte.
Regiões com suporte
Aplicativos de Contêiner do Azure dá suporte à computação confidencial na região Norte dos Emirados Árabes Unidos. Para solicitar a região, envie um problema em GitHub.