5.7.2 机密容器
机密容器是机密计算技术和云原生技术结合的产物。机密容器基于硬件(HW-TEE)实现资源隔离、数据加密以及远程证明,能够防止云服务提供商和任何高权限的第三方对执行环境中的数据进行窃取和篡改,从而有效地保护用户数据和资产安全。
机密容器具有如下特点:能够对数据,尤其是运行态的数据,提供机密性、完整性和安全性保护;能够为敏感工作负载的部署和运行提供全链路的安全保障;能够提供方法证明机密工作负载当前运行的环境是真实可信的;用户保持和普通容器几乎相同的使用体验,免运维成本部署敏感应用负载。
技术方案
龙蜥机密容器解决方案支持多种HW-TEE,提供Pod级机密容器和进程级机密容器两种解决方案,满足用户不同场景的使用需求。在Pod级机密容器领域,近年来,多家硬件厂商陆续发布针对虚拟化场景的机密计算解决方案,给创建基于轻量级虚拟机的机密容器提供了硬件基础。基于CoCo(Confidential Container),龙蜥社区理事单位阿里巴巴和Intel等硬件厂商合作构造了Pod级机密容器解决方案,用户可以零修改地将他们的工作负载运行在该解决方案中。目前社区已经实现了对Intel TDX等硬件平台的支持,后续还计划增加更多的HW-TEE解决方案的支持。
在进程级机密容器领域,阿里巴巴和Intel把SGX技术和容器技术相结合,创新性地开发出了Inclavare Containers机密容器项目, 该项目同时也成为Cloud Native Computing Foundation(CNCF)的第一个机密容器项目。Enclave-cc是基于Inclavare Containers实现的进程级机密容器解决方案,并且满足了CoCo社区设定的安全模型。后续enclave-cc将成为CoCo社区中的进程级机密容器的参考实现,丰富enclave-cc的上下游软件生态链,并持续提升方案的产品化能力。
应用案例
大数据分析和人工智能的应用日益广泛,这也带来了隐私安全风险以及监管要求。分布式隐私保护机器学习(Privacy Preserving Machine Learning, PPML)解决方案基于Intel BigDL开源人工智能解决方案平台,能够在不透出原始数据的前提下,实现数据的有 效流动和高效处理。龙蜥社区理事单位阿里巴巴和Intel结合机密容器解决方案和Intel BigDL PPML开源方案, 构建了一个分布式的隐 私保护机器学习模型,能够实现端到端(包括数据输入, 数据分析,机器学习,深度学习的各个阶段)的数据保护。