机密容器崛起和发展

本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 演讲者: 冯世舫/阿里云操作系统技术专家 朱江云/Intel系统软件部高级研发经理

1.png

机密容器(Confidential Containers)是 CNCF一个Sandbox项目,用于解决云原生场景下数据安全问题,满足数据合规、数据隐私保护算法和模型等创新IP保护,数据可用但是不可见等使用需求,以及解决云厂商信任依赖问题。

机密容器具备以下几个特性:

① 安全性机密容器基于硬件可信执行环境保护容器中数据安全云厂商以及具备高权限第三方均无法直接窃取和篡改容器中数据。

② 易用性用户应用无需进行任何改造,即可从传统容器环境中迁移到机密容器环境中。

③ 能够解决租户和云厂商之间信任依赖问题租户数据对于云厂商而言不再透明。

④ 可自证性用户可以通过远程证明等手段证实当前使用容器环境是真实可信的。

2.png

机密容器安全性很大程度上依赖于硬件可信执行环境基于硬件实现对于运行态数据机密性、完整性和安全性保护。

近年来很多硬件厂商也推出了自己TEE 技术解决方案,比如Intel®SGX和Intel®TDX等,这意味着我们可以基于多种硬件平台构建机密容器技术。

3.png

阿里云是机密容器(Confidential Containers)项目核心参与者,在参与开源项目开发的同时,也一直在推动机密容器商用解决方案目前已经完成了两种机密容器解决方案构建一种 POD级机密容器,一种进程级机密容器。POD 级机密容器将容器 POD 内容放到 TEE 中进行保护进程级机密容器将运行有敏感业务容器进程放到 TEE 中进行保护。

在使用CPU TEE保护运行态数据安全同时,我们也结合镜像安全、存储安全,远程认证、网络安全等一系列安全技术,为用户提供从应用部署到执行的全链路安全保证。4.png

同时,我们将机密容器引入到龙蜥社区,基于龙蜥开源生态构建开源的、开箱即用的解决方案。 目前我们已经完成了ANCKKVMRund安全容器等组件对于机密容器的适配工作。构建开源解决方案,是希望能够借助开源社区与合作伙伴达成更便捷深入合作,机密容器寻找更多落地场景。

6.png

Intel和阿里云都充分意识到,除了关注基础软件之外,为了促进机密容器技术发展和普及,运营应用和生态也是非常关键一环。

机密计算核心价值和能力在于能够对于高价值业务或敏感数据提供保护。

Intel®BigDL一款开源人工智能解决方案平台,能够方便数据科学家和数据工程师便捷地开发出一套端到端分布式人工智能的应用。另外,BigDL特别针对机密计算推出了 PPML (隐私计算框架),能够对分布式人工智能应用实现端到端保护。

PPML架构如上图所示。最底层为通过 K8s 环境提供Intel®TDXSGX分布式可信执行环境。再通过一系列软硬件安全技术加持使得用户能够在不暴露隐私数据前提下,使用标准人工智能和大数据处理软件比如ApacheSparkFlink 以及 TensorFlowPyTorch 耳熟能详工具开发自己应用。

之上,PPML还提供了OrcaDLlib两个工具。Orca是在AI 框架 API 之上增强了分布式大数据处理能力,而 DLlib则能够帮助程序员将分布式深度学习应用转化成 Spark 应用。另外,BigDL提供了可信大数据存储、机器学习、深度学习以及联邦学习应用。

7.png

PPML中间为一个可信的K8s集群通过机密容器技术能够构建出基于TDX 分布式可执行环境从而确保业务数据和模型在使用和计算过程中安全性,包括不可见以及不可更改性。

所有数据以加密方式存储在数据湖和数据仓库中。 PPML 数据装载进可信执行环境之后,通过远程证明以及密钥管理系统获取数据密钥,置于可信执行环境中进行解密。再通过标准人工智能和 AI 处理计算框架,做分布式的大数据预处理,包括模型构建、模型训练以及模型推理。最后再以安全或加密方式将数据写回到分布式存储中。所有节点之间容器之间数据 TL 方式进行传输构成了完整的安全闭环。8.png

使用 TDX 机密容器运行 PPML workload只需简单两步首先将构建 PPML镜像将进行加密,将加密后镜像传输到镜像仓库之中;其次,K8s 运行环境中运行 PPMLworkload 开发者只需在标准 YAML 文件中指定所需机密容器运行时以及配置好高性能存储卷,最后使用标准 K8S 工具拉起即可

9.png

Intel和阿里云一直保持着紧密合作。我们是 cocos 上游社区的发起人共同定义设计和实现了诸多 cocos社区的安全特性,确保了 cocos 软件的强安全属性。

另外,我们在龙蜥社区实现了基于 TDX机密容器端到端解决方案,包括远程证明以及参保用例。我们选择了龙蜥设计 open-local driver 一个支持了可信存储,第一个支持了kata2.xdirect volume 新特性

目前,Intel紧密配合阿里云小伙伴实现阿里云机密容器产品换代。

相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
目录
相关文章
|
弹性计算 Kubernetes 负载均衡
容器技术基础-容器编排技术的崛起
容器技术基础-容器编排技术的崛起
容器技术基础-容器编排技术的崛起
|
存储 人工智能 安全
机密计算容器前沿探索与 AI 场景应用
机密计算容器前沿探索与 AI 场景应用
|
安全 Cloud Native 算法
带你读《云原生机密计算最佳实践白皮书》——基于runtime-attestation使用机密容器(1)
带你读《云原生机密计算最佳实践白皮书》——基于runtime-attestation使用机密容器(1)
565 0
|
安全 Cloud Native Linux
带你读《云原生机密计算最佳实践白皮书》——基于runtime-attestation使用机密容器(2)
带你读《云原生机密计算最佳实践白皮书》——基于runtime-attestation使用机密容器(2)
202 0
|
存储 Kubernetes Cloud Native
带你读《云原生机密计算最佳实践白皮书》——基于runtime-attestation使用机密容器(3)
带你读《云原生机密计算最佳实践白皮书》——基于runtime-attestation使用机密容器(3)
216 0
|
Cloud Native 安全 测试技术
带你读《云原生机密计算最佳实践白皮书》——基于runtime-attestation使用机密容器(4)
带你读《云原生机密计算最佳实践白皮书》——基于runtime-attestation使用机密容器(4)
160 0
|
18天前
|
Kubernetes Cloud Native Docker
云原生时代的容器化实践:Docker和Kubernetes入门
【10月更文挑战第37天】在数字化转型的浪潮中,云原生技术成为企业提升敏捷性和效率的关键。本篇文章将引导读者了解如何利用Docker进行容器化打包及部署,以及Kubernetes集群管理的基础操作,帮助初学者快速入门云原生的世界。通过实际案例分析,我们将深入探讨这些技术在现代IT架构中的应用与影响。
59 2
|
8天前
|
Kubernetes Linux 开发者
深入探索容器化技术——Docker 的实战应用
深入探索容器化技术——Docker 的实战应用
36 5
|
11天前
|
运维 Cloud Native 云计算
云原生之旅:Docker容器化实战
本文将带你走进云原生的世界,深入理解Docker技术如何改变应用部署与运维。我们将通过实际案例,展示如何利用Docker简化开发流程,提升应用的可移植性和伸缩性。文章不仅介绍基础概念,还提供操作指南和最佳实践,帮助你快速上手Docker,开启云原生的第一步。
|
15天前
|
机器学习/深度学习 数据采集 Docker
Docker容器化实战:构建并部署一个简单的Web应用
Docker容器化实战:构建并部署一个简单的Web应用