AI 助理
备案控制台
开发者社区 云原生 容器服务 文章 正文

机密容器崛起和发展

2022-11-29 514
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
容器服务 Serverless 版 ACK Serverless,952元额度 多规格
容器服务 Serverless 版 ACK Serverless,317元额度 多规格
简介: 演讲者: 冯世舫/阿里云操作系统技术专家 朱江云/Intel系统软件部高级研发经理

1.png

机密容器(Confidential Containers)是 CNCF一个Sandbox项目,用于解决云原生场景下数据安全问题,满足数据合规、数据隐私保护算法和模型等创新IP保护,数据可用但是不可见等使用需求,以及解决云厂商信任依赖问题。

机密容器具备以下几个特性:

① 安全性机密容器基于硬件可信执行环境保护容器中数据安全云厂商以及具备高权限第三方均无法直接窃取和篡改容器中数据。

② 易用性用户应用无需进行任何改造,即可从传统容器环境中迁移到机密容器环境中。

③ 能够解决租户和云厂商之间信任依赖问题租户数据对于云厂商而言不再透明。

④ 可自证性用户可以通过远程证明等手段证实当前使用容器环境是真实可信的。

2.png

机密容器安全性很大程度上依赖于硬件可信执行环境基于硬件实现对于运行态数据机密性、完整性和安全性保护。

近年来很多硬件厂商也推出了自己TEE 技术解决方案,比如Intel®SGX和Intel®TDX等,这意味着我们可以基于多种硬件平台构建机密容器技术。

3.png

阿里云是机密容器(Confidential Containers)项目核心参与者,在参与开源项目开发的同时,也一直在推动机密容器商用解决方案目前已经完成了两种机密容器解决方案构建一种 POD级机密容器,一种进程级机密容器。POD 级机密容器将容器 POD 内容放到 TEE 中进行保护进程级机密容器将运行有敏感业务容器进程放到 TEE 中进行保护。

在使用CPU TEE保护运行态数据安全同时,我们也结合镜像安全、存储安全,远程认证、网络安全等一系列安全技术,为用户提供从应用部署到执行的全链路安全保证。4.png

同时,我们将机密容器引入到龙蜥社区,基于龙蜥开源生态构建开源的、开箱即用的解决方案。 目前我们已经完成了ANCKKVMRund安全容器等组件对于机密容器的适配工作。构建开源解决方案,是希望能够借助开源社区与合作伙伴达成更便捷深入合作,机密容器寻找更多落地场景。

6.png

Intel和阿里云都充分意识到,除了关注基础软件之外,为了促进机密容器技术发展和普及,运营应用和生态也是非常关键一环。

机密计算核心价值和能力在于能够对于高价值业务或敏感数据提供保护。

Intel®BigDL一款开源人工智能解决方案平台,能够方便数据科学家和数据工程师便捷地开发出一套端到端分布式人工智能的应用。另外,BigDL特别针对机密计算推出了 PPML (隐私计算框架),能够对分布式人工智能应用实现端到端保护。

PPML架构如上图所示。最底层为通过 K8s 环境提供Intel®TDXSGX分布式可信执行环境。再通过一系列软硬件安全技术加持使得用户能够在不暴露隐私数据前提下,使用标准人工智能和大数据处理软件比如ApacheSparkFlink 以及 TensorFlowPyTorch 耳熟能详工具开发自己应用。

之上,PPML还提供了OrcaDLlib两个工具。Orca是在AI 框架 API 之上增强了分布式大数据处理能力,而 DLlib则能够帮助程序员将分布式深度学习应用转化成 Spark 应用。另外,BigDL提供了可信大数据存储、机器学习、深度学习以及联邦学习应用。

7.png

PPML中间为一个可信的K8s集群通过机密容器技术能够构建出基于TDX 分布式可执行环境从而确保业务数据和模型在使用和计算过程中安全性,包括不可见以及不可更改性。

所有数据以加密方式存储在数据湖和数据仓库中。 PPML 数据装载进可信执行环境之后,通过远程证明以及密钥管理系统获取数据密钥,置于可信执行环境中进行解密。再通过标准人工智能和 AI 处理计算框架,做分布式的大数据预处理,包括模型构建、模型训练以及模型推理。最后再以安全或加密方式将数据写回到分布式存储中。所有节点之间容器之间数据 TL 方式进行传输构成了完整的安全闭环。8.png

使用 TDX 机密容器运行 PPML workload只需简单两步首先将构建 PPML镜像将进行加密,将加密后镜像传输到镜像仓库之中;其次,K8s 运行环境中运行 PPMLworkload 开发者只需在标准 YAML 文件中指定所需机密容器运行时以及配置好高性能存储卷,最后使用标准 K8S 工具拉起即可

9.png

Intel和阿里云一直保持着紧密合作。我们是 cocos 上游社区的发起人共同定义设计和实现了诸多 cocos社区的安全特性,确保了 cocos 软件的强安全属性。

另外,我们在龙蜥社区实现了基于 TDX机密容器端到端解决方案,包括远程证明以及参保用例。我们选择了龙蜥设计 open-local driver 一个支持了可信存储,第一个支持了kata2.xdirect volume 新特性

目前,Intel紧密配合阿里云小伙伴实现阿里云机密容器产品换代。

文章标签:
容器服务Kubernetes版
密钥管理服务
云原生大数据计算服务 MaxCompute
Perl
容器
机器学习/深度学习
人工智能
数据安全/隐私保护
Kubernetes
安全
存储
大数据
Anolis
关键词:
容器机密
机密容器
机密容器崛起
机密容器崛起发展
相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
fengshifang
目录
相关文章
训练营小助手
|
弹性计算 Kubernetes 负载均衡
容器技术基础-容器编排技术的崛起
容器技术基础-容器编排技术的崛起
训练营小助手
174 0
容器技术基础-容器编排技术的崛起
阿里云云原生
|
12月前
|
存储 人工智能 安全
机密计算容器前沿探索与 AI 场景应用
机密计算容器前沿探索与 AI 场景应用
阿里云云原生
600 0
技术工程师
|
安全 Cloud Native 算法
带你读《云原生机密计算最佳实践白皮书》——基于runtime-attestation使用机密容器(1)
带你读《云原生机密计算最佳实践白皮书》——基于runtime-attestation使用机密容器(1)
技术工程师
542 0
技术工程师
|
安全 Cloud Native Linux
带你读《云原生机密计算最佳实践白皮书》——基于runtime-attestation使用机密容器(2)
带你读《云原生机密计算最佳实践白皮书》——基于runtime-attestation使用机密容器(2)
技术工程师
197 0
技术工程师
|
存储 Kubernetes Cloud Native
带你读《云原生机密计算最佳实践白皮书》——基于runtime-attestation使用机密容器(3)
带你读《云原生机密计算最佳实践白皮书》——基于runtime-attestation使用机密容器(3)
技术工程师
206 0
技术工程师
|
Cloud Native 安全 测试技术
带你读《云原生机密计算最佳实践白皮书》——基于runtime-attestation使用机密容器(4)
带你读《云原生机密计算最佳实践白皮书》——基于runtime-attestation使用机密容器(4)
技术工程师
158 0
以山向海
|
11天前
|
存储 Docker 容器
docker中挂载数据卷到容器
【10月更文挑战第12天】
以山向海
32 5
众所周知
|
4天前
|
存储 Kubernetes C++
Kubernetes VS Docker Swarm:哪个容器编排工具更适合你?
随着容器技术的快速发展,容器编排工具成为了现代软件开发和运维的重要环节。在众多容器编排工具中,Kubernetes和Docker Swarm无疑是最受欢迎的两个。本文将从技术特性、易用性和社区支持三个方面,对Kubernetes和Docker Swarm进行比较,以帮助您选择更适合您需求的容器编排工具。
众所周知
18 3
以山向海
|
5天前
|
存储 缓存 Docker
docker中挂载数据卷到容器
【10月更文挑战第16天】
以山向海
15 2
以山向海
|
7天前
|
存储 关系型数据库 MySQL
使用docker run命令创建容器并挂载数据卷
【10月更文挑战第14天】
以山向海
20 1
云原生

容器服务

热门文章

最新文章

  • 1
    Docker 镜像加速器
  • 2
    Docker CE 镜像源站
  • 3
    Minikube - Kubernetes本地实验环境
  • 4
    Docker的Windows容器初体验
  • 5
    Docker学习路线图 (持续更新中)
  • 6
    利用Zipkin对Spring Cloud应用进行服务追踪分析
  • 7
    基于Docker容器的,Jenkins、GitLab构建持续集成CI
  • 8
    谈谈 Docker Volume 之权限管理(一)
  • 9
    容器镜像服务 Docker镜像的基本使用
  • 10
    使用阿里云容器服务Jenkins 2.0实现持续集成之Pipeline篇(updated on 2016.12.23)
  • 1
    基于Docker安装Grafana和Prometheus
    17
  • 2
    JVM进阶调优系列(7)JVM调优监控必备命令、工具集合|实用干货
    26
  • 3
    前端的全栈之路Meteor篇(一):开发环境的搭建 -全局安装或使用容器镜像
    40
  • 4
    前端的全栈之路Meteor篇(二):容器化开发环境下的meteor工程架构解析
    28
  • 5
    拿下奇怪的前端报错(五):SyntaxError: Unexpected token ‘??=‘或‘xxx‘ - 基于容器搭建开发环境或许是更好的选择
    250
  • 6
    容器内的Nodejs应用如何获取宿主机的基础信息-系统、内存、cpu、启动时间,以及一个df -h的坑
    33
  • 7
    拿下奇怪的前端报错(三):npm install卡住了一个钟- 从原理搞定安装的全链路问题
    97
  • 8
    拿下奇怪的前端报错(二):nvm不可用报错`GLIBC_2.27‘‘GLIBCXX_3.4.20‘not Found?+ 使用docker构建多个前端项目实践
    30
  • 9
    JVM进阶调优系列(3)堆内存的对象什么时候被回收?
    26
  • 10
    使用WASM插件扩展ASM中监控指标的维度信息
    93

    • 相关课程

    更多
  • 基于容器搭建企业级应用
  • 容器持久化储存训练营
  • 现代应用容器技术快速入门
  • 云计算、容器和云原生基础课程
  • Serverless 容器从入门到精通: - Serverless Kubernetes
  • 容器安全与Palo Alto Networks解决方案

    • 相关电子书

    更多
  • 中小企业如何巧用容器技术
  • 基于Java容器的多应用部署技术实践
  • 阿里巴巴集团容器技术现状与未来路线

    • 相关实验场景

    更多
  • 使用容器计算服务 ACS 算力快速搭建生成式 AI 会话应用
  • 容器中的volume卷
  • 容器的文件系统挂载
  • 容器的配置和存储
  • 容器DevSecOps全链路体验
  • 多项目规范轻松落地
    • 下一篇
    阿里云无影云电脑免费试用,最长可试用3个月