5

阿里巴巴正式开源Inclavare Containers技术

 3 years ago
source link: https://kernel.taobao.org/2020/05/Inclavare-Containers/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

May 18, 2020 • 乾越

阿里巴巴正式开源Inclavare Containers技术

什么是Inclavare Containers?

Inclavare,是Enclave一词的拉丁语词源,读音是[ˈinklɑveə]。

Enclave指的是一种受保护的执行环境,能为其中的敏感和机密数据提供基于密钥学算法的强安全隔离,阻止不可信的实体访问用户的数字资产。

Inclavare Containers是由阿里云操作系统安全团队和阿里云云原生容器服务团队主导,并联合了阿里经济体内多个研发团队(蚂蚁安全计算团队、云安全团队、语言runtime团队等)共同研发的面向机密计算场景的开源容器运行时技术栈。

img

  • Occlum:由蚂蚁安全计算团队自研的实现了内存安全的多进程library OS(rune的默认enclave runtime)

  • Dragonwell:由阿里编译器团队定制的LTS OpenJDK发行版本(后续会提供Golang的支持)

  • Graphene:基于Intel SGX(Software Guard Extensions)技术并可以运行未经修改程序的开源library OS(阿里云安全团队合作贡献Golang支持)

  • enclave-device-plugin:由阿里云容器服务团队和蚂蚁金服安全计算团队针对Enclave硬件技术联合开发的Kubernetes Device Plugin

Inclavare Containers的定位是提供面向机密计算的容器化技术底座,主打开源、社区、标准和生态,目前已经在github上开源:https://github.com/alibaba/inclavare-containers ;Inclavare Containers目前支持Intel SGX机密计算技术。

越来越多的租户业务尤其是企业负载需要利用云计算提供的弹性资源进行海量数据处理。这类租户要求CSP(Cloud Service Provider)能够提供更好的安全和隔离解决方案,尤其是在计算阶段处理租户机密数据的过程中,机密数据不能以明文形式暴露在内存中,同时租户运行环境的安全性又不能依赖于CSP。目前这个数据隐私问题是困扰企业用户上云的隐忧之一,需要机密计算这种工程技术来解决。

机密计算的核心功能

机密计算中的三个最核心的关键功能分别是:

  • 基于密码学的内存隔离

  • 支持远程证明

  • CSP不在租户的TCB(Trusted Computing Base)中

Intel SGX技术实现了上述关键功能。Intel SGX提供的隐私数据防护能力要高于纯粹的内存加密技术,原因是它提供了最小的、应用级粒度的TCB以及基于密码学的强安全隔离;但在提供强安全特性的同时,也伴随着很多兼容性和性能问题。Inclavare Containers正是看到了这样的问题,所以整合了容器生态、library OS和语言Runtime这三大技术体系和资源,目的是大幅度降低用户的使用门槛,并将Intel SGX Enclave这个形态牵引至云原生的场景里。

阿里云ACK-TEE

ACK-TEE是阿里云容器团队、操作系统安全团队、蚂蚁安全团队、阿里云安全团队和编译器团队共同打造的可信计算容器平台,旨在为对数字资产(算法、数据、代码)有强安全诉求的云用户提供基于Intel SGX硬件加密技术的可信计算环境(TEE),降低机密计算技术的应用门槛,简化可信/机密应用的开发、交付和管理成本。同时,ACK-TEE 致力于打造可信业务/应用/二方产品上云的云原生机密计算通用底座。

ACK加密计算托管集群(ACK-TEE 1.0)已于2020年1月上线,支持基于SGX SDK开发的可信应用以及Occlum、Graphene-SGX应用等,支持EPC内存调度。

数据安全防护的重要性在快速提升,这给整个数据安全市场的发展带来了巨大的潜力和机会。尤其是机密计算领域,Gartner在2019年发布的计算基础设施技术成熟度曲线中,首次将机密计算列入Innovation Trigger阶段,这也表示了机密计算在全球也属于新兴领域。

机密计算本身是关注租户利益的,CSP也意识到了这个问题并在进行技术和产品研发,但这不绝不是一蹴而就的,而是一个循序渐进的过程,因此就开始出现了非面向机密计算的Enclave形式。对此,CSP应当在横向上支持不同的硬件安全能力和Enclave形态,成就立体的技术解决方案,包括面向机密计算和非机密计算,并提供更多的可选项,以涵盖最广泛的有对计算时数据安全防护需求的用户群体。Inclavare Containers也将这一目标作为其使命。

最后,再次审视机密计算场景下的租户立场:希望借助CSP提供的云计算能力的同时,又不信任CSP。 一个看似矛盾但实为拥有巨大共赢潜力的需求,正是驱动CSP真正地完全站在客户的角度去思考问题的绝好机遇。

以数据安全为根,以Inclavare Containers为枝,我们冀望着机密计算这棵幼苗能够茁壮成长为一颗苍天大树。

2020.6.9,阿里云技术峰会隆重开幕,Inclavare Containers的两位创始人与您邀约,欢迎莅临!

扫描二维码,加入Inclavare Containers技术讨论群:

img

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK