Confidential Containers发布0.5.0版本,龙蜥将基于八大特性构建开箱即用的机密容器解决方案

这篇具有很好参考价值的文章主要介绍了Confidential Containers发布0.5.0版本,龙蜥将基于八大特性构建开箱即用的机密容器解决方案。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

文/段勇帅

01 前言

机密容器(Confidential Containers,简称CoCo)是 Cloud Native Computing Foundation(CNCF)Sandbox 项目。目前机密容器项目的核心参与者包括阿里云、AMD、ARM、IBM、Intel、Microsoft、Red Hat、Rivos 等软件和硬件公司。本次发布的 CoCo-0.5.0 release 是机密容器社区成立以来最大规模的版本更新,共包含八大新特性。其中,阿里云作为项目核心技术的主要贡献者,主动发起/深度参与了该版本中的四项关键特性。云原生和安全可信是龙蜥社区的八大技术方向之二,作为理事长单位,阿里云将该机密容器解决方案推广到龙蜥社区,并基于龙蜥社区构建开箱即用的机密容器解决方案。

02 云原生机密计算

Confidential Containers发布0.5.0版本,龙蜥将基于八大特性构建开箱即用的机密容器解决方案

  文章来源地址https://www.toymoban.com/news/detail-431822.html

云原生机密计算基于 CPU 可信执行环境(TEE)技术,并与云原生容器以及 Kubernetes 技术结合,构建出新的软件架构。其设计目的是为运行在不受用户控制的云计算基础设施上的敏感数据和应用提供安全可信的计算环境。机密容器项目的目标是标准化机密计算在容器技术层面的实现方式,屏蔽多种 CPU TEE 的底层实现细节,在使用体感上保持与使用普通容器进行开发和部署的一致性,为用户提供开箱即用的机密计算软件栈。

那么,机密容器项目致力于以下目标:

  • 允许云原生应用程序所有者定义应用程序的安全要求。

  • 透明部署无需修改的容器。

  • 支持多种 TEE 和硬件平台。

  • 将云服务提供商(CSP)与用户应用程序隔离的信任模型。

  • 在 Kubernetes 集群管理功能中实践最小特权原则,以保障 TEE 内 APP 和数据的隐私性与安全性。

可以在《Confidential Containers:云原生机密计算基础设施》查看更多云原生机密计算的相关介绍。

03 机密容器社区 0.5.0 版本

本次机密容器社区发布的 0.5.0 release 包含以下八项新特性:

  • 发布基于 Intel SGX 硬件的进程级机密容器完整解决方案 Enclave-CC。

  • 发布 KBS Resource URI 方案。标识创建和使用机密环境时的所有机密资源。

  • 不同的 KBC 共享镜像加密格式,实现加密镜像互通。

  • 支持通用密钥代理系统(KBS)。该系统包括 KBS 本身,它依赖于 Attestation Service(AS)进行证据验证。AS 参考值由 Reference Value Provider Service(RVPS)提供。

  • 向 CoCo operator 添加了远程管理程序支持。这有助于在本地或在云服务提供商基础设施上将容器创建为“peer pods”。

  • 支持使用 K8S Annotations 进行 AMD SEV 机密容器的配置。

  • CI/CD 支持 AMD SEV-ES 硬件平台。

  • 一些开发中的 SEV-SNP 组件可以在无需 attestation 的情况下手动启用,以测试 SNP 容器。

Confidential Containers发布0.5.0版本,龙蜥将基于八大特性构建开箱即用的机密容器解决方案

​通用远程证明(Remote Attestation)是机密容器项目的一项核心工作。在 CoCo-0.5.0 release 中,远程证明主要包含两个组件群,即位于云端的 Attestation Agent 和位于租户侧的 CoCo-AS。其中,Attestation Agent 执行 Attester 的功能,按照请求向租户侧提供各种服务 API。CoCo-AS 则是部署在可信端的集群服务,由执行 Verifier 功能的Attestation Service和执行 Relying Party 功能的 Key Broker Service 组成,可以帮助用户验证远程 TEE 工作负载是否运行在真实、可信、预期的软硬件环境中。并且在验证通过后,其负责进行安全响应,如注入机密数据(如解密密钥)、发行令牌证明 TEE 的可信度等。

上述各组件在本次发布的版本中都有较大更新,具体功能如下:

Attestation Agent(AA)。AA 是运行在云端TEE环境中的一个组件,负责在 TEE 启动时获取可信计算基(TCB)的证明信息,包括可信硬件的信息和所有软件组件的度量值。以上证明信息均由 CPU 内部的可信硬件密钥签名,无法窃取和篡改。并且AA通过其内部组件Key Broker Client(KBC)与对应的 KBS 建立连接,从而获得可信服务或 KBS 的资源。AA 目前提供基于远程证明的多项功能,如容器镜像解密、机密资源注入等,并且机密资源均由 KBS Resource URI 唯一索引。

Key Broker Service(KBS)。KBS 是 CoCo-AS 的前端 Web 服务器,它提供HTTPS RESTful API 接收来自 AA 的请求,包括获取机密资源和获取认证令牌等。在实现上,KBS 与 AS 交互,并将 AA 提供的证明信息转发给 AS 进行验证。验证通过后,KBS 再将请求转发给相应的内部模块处理。KBS 目前集成了一个用于维护机密资源的代理模块和一个用于发布证明令牌的功能模块。

Attestation Service(AS)。AS 由租户运行,用于验证来自 AA、由硬件密钥签名的证明信息。AS 提供三项功能:允许租户配置个性化的鉴权认证策略、验证不同类型硬件的证明信息以支撑复杂的策略配置、提供个性化组件参考值。其中最后一项功能由 RVPS 实现。

Reference Value Provider Service(RVPS)。RVPS 位于租户端,处理软件供应链产生的软件元数据,验证其合法性并提取其中记录的参考值/哈希值用于远程证明。它采用插件方式支持多种供应链元数据格式。目前已经支持 in-toto link & layout v0.9。此外,RVPS 采用模块化的存储方式,将经过验证的参考值存储在后端存储引擎中,供 AS 查询。

04 后续开发规划与产品化推广

基于 CoCo-0.5.0 release,机密计算社区也总结出需要持续开发的功能,并根据优先度详细规划了开发路线图。例如,KBS token 的生成与验证功能,KBS 从 KMS 获取密钥,机密计算社区的参考值发布规则等,都在未来版本的功能规划中。

在将机密容器解决方案推广至龙蜥社区时,龙蜥社区也将沿着 runC(普通容器)->runD(安全容器)->runE(机密容器)的演进路径推进,并整合云原生套件和机密容器相关组件,构建开源的、开箱即用机密容器解决方案。截止 CoCo-0.5.0 release 发布,kata-cc、enclave-cc、安全镜像等多项核心项目已成功适配 Anolis OS,《云原生机密计算最佳实践白皮书》也在积累打磨后发布。在未来,机密计算社区也将围绕机密计算核心项目,构建云原生机密计算开源技术栈,降低机密计算的使用门槛,推动云原生场景下的机密计算技术的发展。

相关链接:

CoCo-0.5.0 release文档:https://github.com/confidential-containers/documentation/blob/main/releases/v0.5.0.md

龙蜥社区云原生 SIG 主页:https://openanolis.cn/sig/cloud-native

龙蜥社区云原生机密计算 SIG 主页:https://openanolis.cn/sig/coco

机密容器 github 链接地址:https://github.com/confidential-containers

云原生机密计算最佳实践白皮书:https://openanolis.cn/confidentialComputing

—— 完 ——

为给大家提供更好的内容和服务,龙蜥社区诚挚地邀请大家参与问卷调研,请扫描下方二维码或点此链接填写, 我们将筛选出优质反馈,送出龙蜥周边!

 

到了这里,关于Confidential Containers发布0.5.0版本,龙蜥将基于八大特性构建开箱即用的机密容器解决方案的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 基于Java+SpringBoot+Vue3+Uniapp前后端分离考试学习一体机设计与实现企业级2.20版本(视频讲解,已发布上线)

    博主介绍: ✌全网粉丝5W+,全栈开发工程师,从事多年软件开发,在大厂呆过。持有软件中级、六级等证书。可提供微服务项目搭建与毕业项目实战,博主也曾写过优秀论文,查重率极低,在这方面有丰富的经验✌ 博主作品: 《Java项目案例》主要基于SpringBoot+MyBatis/MyBatis

    2024年01月23日
    浏览(72)
  • 【数据结构与算法篇】手撕八大排序算法之快排的非递归实现及递归版本优化(三路划分)

    ​👻内容专栏: 《数据结构与算法篇》 🐨本文概括: 利用数据结构栈(Stack)来模拟递归,实现快排的非递归版本;递归版本测试OJ题时,有大量重复元素样例不能通过,导致性能下降,优化快速排序通过将数组划分为三个区域,可以更有效地处理重复元素。 🐼本文作者:

    2024年02月11日
    浏览(83)
  • Arm-Confidential-Compute-Software-Stack

    快速链接: . 👉👉👉 个人博客笔记导读目录(全部) 👈👈👈 付费专栏-付费课程 【购买须知】: 【精选】ARMv8/ARMv9架构入门到精通-[目录] 👈👈👈 — 适合小白入门 【目录】ARMv8/ARMv9架构高级进阶-[目录]👈👈👈 — 高级进阶、小白勿买 【加群】ARM/TEE/ATF/SOC/芯片/安全-学习交

    2024年02月05日
    浏览(45)
  • Confidential Compute Architecture - Arm构架的TEE新模式

    快速链接: . 👉👉👉 个人博客笔记导读目录(全部) 👈👈👈 付费专栏-付费课程 【购买须知】: 【精选】ARMv8/ARMv9架构入门到精通-[目录] 👈👈👈 联系方式-加入交流群 ---- 联系方式-加入交流群 1 简介 如今,云计算在分布式计算资源按需使用方面起着重要的作用。许多公司

    2024年02月07日
    浏览(71)
  • QT入门Containers之QToolBox

    目录 一、QToolBox界面相关 1、布局介绍 2、界面测试 3、添加分组测试 4、添加图标 5、添加展开缩进不同效果图标 二、Demo展示  此文为作者原创,创作不易,转载请标明出处! 先从界面拖个过来看下,这是个类似于抽屉式的控件,可以做成扣扣中的聊天分组效果 测试做下聊

    2024年02月09日
    浏览(44)
  • 版本动态 | SolidUI 0.1.0 版本发布

    SolidUI 0.1.0版本主要增加功能,登录、项目管理、数据源管理、设计管理。各个模块文档,测试用例,github action。 https://github.com/CloudOrc/SolidUI 功能 登录:登录信息,预置用户 数据源管理:数据类型管理,编辑数据源,单行删除数据源,添加数据源,数据源过期 项目管理:添

    2024年02月11日
    浏览(35)
  • 版本动态 | SolidUI 0.2.0 版本发布

    SolidUI 一句话生成任何图形 随着文本生成图像的语言模型兴起,SolidUI想帮人们快速构建可视化工具,可视化内容包括2D,3D,3D场景,从而快速构三维数据演示场景。SolidUI 是一个创新的项目,旨在将自然语言处理(NLP)与计算机图形学相结合,实现文生图功能。通过构建自研的

    2024年02月13日
    浏览(31)
  • git合并分支(开发版本分支合并到发布版本分支)

    将一个分支合并到另一个分支(或者说将开发版本的分支覆盖到发布版本分支) 假设当前有两个分支 : develop分支 :主要在开发的分支,每日开发的代码都存为该分支 master分支 :作为发布版本的分支,将当前重大版本的代码存为该分支 现在目的 :将develop的内容合并到master分

    2024年02月07日
    浏览(45)
  • .NET候选版本2发布

    本文作者为Jon Douglas、Jeremy Likness 和 Angelos Petropoulos 今天,我们宣布推出 .NET 7 Release Candidate 2。这是 .NET 7 的最终候选版本(RC),并在生产环境中得到支持。 您可以下载适用于 Windows、macOS 和 Linux 的 .NET 7 Release Candidate 2。 安装程序和二进制文件 容器图像 Linux 软件包 发行说

    2024年02月08日
    浏览(38)
  • 小程序发布测试版本步骤

    1,在微信开发者工具,填写自己的appid,编写好了代码后,点击右上角的《上传》 2,接着在微信公众平台-小程序的后台,版本管理中,就能看到新提交的开发版本,点击《提交审核》  3 点击测试版本即可

    2024年02月16日
    浏览(35)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包