业界首个机密计算容器运行时—Inclavare Containers正式进入CNCF!
作者|彥榮
2021 年 9月 15 日,Inclavare Containers 通過云原生計算基金會(CNCF)TOC 投票正式成為 CNCF 官方沙箱項目。Inclavare Containers 是一個最初由阿里云操作系統安全團隊和云原生容器平臺團隊共同研發,并聯合 Intel 共同打造的業界首個面向機密計算場景的開源容器運行時項目。
Inclavare Containers 項目地址:
https://github.com/alibaba/inclavare-containers
首個機密計算開源容器運行時- Inclavare Containers
云原生環境下,機密計算技術基于硬件可執行環境,為用戶在使用(計算)過程中的敏感數據提供了機密性和完整性的保護,但是同時也面臨著開發、使用和部署門檻高、敏感應用容器化操作復雜、Kubernetes 不提供原生支持、以及缺乏統一的跨云部署方案等一系列問題;而 Inclavare Containers 正是為解決這些問題而生的。
Inclavare Containers 系統架構圖
Inclavare Containers 能夠與 Kubernetes 和 Docker 進行集成,是業界首個面向機密計算場景的開源容器運行時,其目標是為業界和開源社區提供面向云原生場景的機密容器技術、機密集群技術和通用的遠程證明安全架構,并力爭成為該領域的事實標準。該項目于 2020 年 5 月開源,短短一年多時間內發展迅速,吸引了眾多領域專家和工程師的關注與貢獻。
五大特色功能,為用戶數據保駕護航
Inclavare Containers 采用了新穎的方法在基于硬件的可信執行環境中啟動受保護的容器,以防止不受用戶信任的實體訪問用戶的敏感數據。其核心功能和特點包括:
- 移除對云服務提供商的信任,實現零信任模型:Inclavare Containers 的安全威脅模型假設用戶無需信任云服務提供商,即用戶工作負載的安全性不再依賴云服務提供商控制的特權組件。
- 提供通用的遠程證明安全架構:通過構建通用且跨平臺的遠程證明安全架構,能夠向用戶證明其敏感的工作負載是運行在真實可信的基于硬件的可信執行環境中,且硬件的可信執行環境可以基于不同的機密計算技術。
- 定義了通用的 Enclave Runtime API 規范:通過標準的 API 規范來對接各種形態的 Enclave Runtime,在簡化特定的 Enclave Runtime 對接云原生生態的同時,也為用戶提供了更多的技術選擇。目前,Occlum、Graphene 和 WAMR 均為 Inclavare Containers 提供了 Enclave 運行時的支持。
- OCI兼容:Inclavare Containers 項目設計并實現了符合 OCI 運行時規范的新型 OCI 運行時 rune,以便與現有的云原生生態系統保持一致,實現了機密容器形態。用戶的敏感應用以機密容器的形式部署和運行,并保持與使用普通容器相同的使用體感。
- 與 Kubernetes 生態無縫整合:Inclavare Containers 可以部署在任何公共云 Kubernetes 平臺中,實現了統一的機密容器部署方式。
加速云原生基礎設施擁抱機密計算
Inclavare Containers 開源項目致力于通過結合學術界的原創研究和工業界的落地實踐能力,加速云原生基礎設施擁抱機密計算,通過中立化的社區構建云原生機密計算安全技術架構。除了已經與 Intel 建立了合作關系外,計劃在之后與其他芯片廠商陸續建立類似的合作關系;此外,我們已經開始與高校和學術界建立新的合作關系,以挖掘出 Inclavare Containers 在機密計算領域的更多潛能。
作為業界首個面向機密計算場景的開源容器運行時,Inclavare Containers 將向安全、更易用、智能可擴展的架構方向演進。在不斷深化實施零信任模型原則的同時,不斷提升開發者和用戶的使用體驗,并最終完全消除與運行普通容器在使用體感上的差異。未來,Inclavare Containers 將繼續與社區并肩、與生態同行,致力于推進云原生技術在機密計算系統領域的生態建設和普及,與全球開發者一起拓展云原生的邊界。
目前,Inclavare Containers 成為龍蜥社區云原生機密計算 SIG 的項目之一:致力于通過開源社區合作共建的方式,向業界提供開源和標準化的機密計算技術以及安全架構,推動云原生場景下的機密計算技術的發展。
戳下方鏈接直達云原生機密計算 SIG:
https://openanolis.cn/sig/coco
總結
以上是生活随笔為你收集整理的业界首个机密计算容器运行时—Inclavare Containers正式进入CNCF!的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 阿里云容器服务全面升级为 ACK Any
- 下一篇: OpenKruise 如何实现应用的可用