利用 Azure 红帽 OpenShift 上的机密容器增强工作负载安全性

随着企业不断加快在云中的数字化转型，客户正在寻求增强敏感工作负载安全性的方法，尤其是在高度监管的行业中。因此，机密计算通过提供基于 零信任 安全模型的隔离的硬件加密环境，已成为保护工作负载的一种日益重要的方式。 

为了帮助满足这一需求，我们很高兴地宣布微软 Azure 红帽 OpenShift 上的机密容器已全面上市，预计将在未来几周内交付。除了平台内置的安全功能外，此功能还使企业能够更好地控制其最敏感应用程序的硬件和基础设施。该功能从 Azure 红帽 OpenShift 4.15 及更高版本开始提供。

Azure 红帽 OpenShift 提供了一个完全托管的应用平台，该平台由红帽和微软共同运营和支持。它旨在通过内置的安全功能和合规性大规模构建、部署和管理应用程序，以支持企业（尤其是高度监管行业的企业）的持续需求。 

增强敏感工作负载的安全性

机密计算的基础在于能够在可信执行环境 (TEE) 中部署容器。TEE 通过加密提供 CPU 的隔离区域，从而保护容器、代码和数据免受未经授权的访问，包括来自云提供商、集群管理员和站点可靠性工程师 (SRE) 的访问。 

通过提供硬件级加密和隔离，机密容器可减少高度敏感的容器化应用程序的潜在攻击面。这种隔离层可提供增强的安全性，尤其适用于需要遵守严格的安全和合规性要求并处理个人身份信息的企业。

远程证明：建立信任基础

在运行任何容器镜像或交付密钥之前，远程证明会验证机密计算环境的完整性。此过程确认将运行工作负载的底层 TEE 未被篡改，并且正在运行预期的配置。这种验证对于在部署任何密钥或关键工作负载之前，确定环境是否具有可验证的安全性至关重要。

增强的数据保护和隐私

机密容器通过在 TEE 内提供加密的内存飞地来增强数据保护。机密容器不仅可以保护静态（存储）或传输中（网络）的数据，还可以在 CPU 主动处理数据时对使用中的数据进行加密。 

零信任安全：降低未经授权访问带来的风险

通过使用零信任安全方法，机密容器有助于降低未经授权访问带来的风险。这意味着对容器内容的访问受到严格限制，即使是云运营商、集群管理员和管理主机系统的 SRE 也是如此。 

在微软 Ignite 2025 了解更多信息

在旧金山举办的微软 Ignite 2025 大会上，我们将在红帽展位上以快速讲座的形式介绍 Azure 红帽 OpenShift 上的机密容器。与会者可以进一步了解机密计算如何帮助加强混合环境中的数据保护和合规性。

如需进一步了解 Azure 红帽 OpenShift 上的机密容器，请阅读完整文档并试用互动体验：

• Azure 红帽 OpenShift 产品页面
• 互动体验：Azure 红帽 OpenShift 上的机密容器