带你读《云原生机密计算最佳实践白皮书》——03云原生机密计算SIG概述

简介: 带你读《云原生机密计算最佳实践白皮书》——03云原生机密计算SIG概述

云原生机密计算SIG概述


随着通信、网络和计算机技术的持续演进与广泛应用,数据资源的开放共享、交换流通成为推动“万物互联、智慧互通”的重要趋势。与此同时,近年来数据安全事件频发、数据安全威胁日趋严峻,数据的安全处理和流通受到了国内外监管部门的广泛重视。如何在保障安全的前提下最大程度发挥数据的价值,是当前面临的重要课题。

在日益严苛的隐私保护相关法律法规约束下,作为当前数据处理基础设施的云计算也正在经历一次重大的范式转换,即从默认以 CSP 为信任基础的计算范式走向信任链与 CSP 解耦的新范式。我们将此范式称为隐私保护云计算,而机密计算是实现隐私保护云计算的必由之路。

为拥抱隐私保护云计算新范式,促进隐私保护云计算生态发展,云原生机密计算SIG应运而生:

1685101884644.png

愿景


云原生机密计算SIG致力于通过开源社区合作共建的方式,为业界提供开源和标准化的机密计算技术以及安全架构,推动云原生场景下机密计算技术的发展。工作组将围绕下述核心项目构建云原生机密计算开源技术栈,降低机密计算的使用门槛,简化机密计算在云上的部署和应用步骤,拓展使用场景及方案。

云原生机密计算SIG的愿景是:

1)构建安全、易用的机密计算技术栈

2)适配各种常见机密计算硬件平台

3)打造典型机密计算产品和应用案例


项目介绍


海光 CSV 机密容器

CSV 是海光研发的安全虚拟化技术。CSV1 实现了虚拟机内存加密能力,CSV2 增加了虚拟机状态加密机制,CSV3 进一步提供了虚拟机内存隔离支持。CSV 机密容器能够为用户提供虚拟机内存加密和虚拟机状态加密能力,主机无法解密获取虚拟机的加密内存和加密状态信息。CSV 虚拟机使用隔离的 TLB、Cache 等硬件资源,支持安全启动、代码验证、远程认证等功能。

主页:https://openanolis.cn/sig/coco/doc/533508829133259244

Intel Confifidential Computing Zoo

Intel 发起并开源了 Confifidential Computing Zoo (CCZoo),CCZoo 基于 Intel TEE(SGX,TDX)技术,提供了不同场景下各种典型端到端安全解决方案的参考案例,增加用户在机密计算方案实现上的开发体验,并引导用户结合参考案例快速设计自己特定的机密计算解决方案。 CCZoo 目前提供了基于 Libos + Intel TEE + OpenAnolis 容器的 E2E 安全解决方案参考案例,后续,CCZoo 计划基于 OpenAnolis ,提供更多的机密计算

参考案例,为用户提供相应的容器镜像,实现敏捷部署。

主页:https://cczoo.readthedocs.io

代码库:https://github.com/intel/confidential-computing-zoo

Intel HE Toolkit

Intel HE Toolkit 旨在为社区和行业提供一个用于实验、开发和部署同态加密应用的平台。目前 Intel HE Toolkit 包括了主流的 Leveled HE 库,如 SEAL、Palisade和 HELib,基于使能了英特尔最新指令集加速的的 Intel HEXL 库,在英特尔至强处理器平台上为同态加密业务负载提供了卓越的性能体验。同时,Intel HE Toolkit即将集成半同态 Paillier 加速库 IPCL,为半同态加密应用提供加速支持。此外,Intel HE Toolkit 还提供了示例内核、示例程序和基准测试 HEBench。这些示例程序演示了利用主流的同态加密库构建各种同态加密应用保护用户隐私数据的能力。HEBench 则为各类第三方同态加密应用提供了公允的评价基准,促进了同态加密领域的研究与创新。

主页:https://www.intel.com/content/www/us/en/developer/tools/homoorphic

encryption/

代码库:Intel HE Toolkit:https://github.com/intel/he-toolkit

Intel HEXL: https://github.com/intel/hexl

Intel Paillier Cryptosystem Library (IPCL):https://github.com/intel/pailliercryptolib

HE Bench:https://github.com/hebench

Intel SGX Platform Software and Datacenter Attestation Primitives

在龙蜥生态中为数据中心和云计算平台提供 Intel SGX 技术所需的平台软件服务,如远程证明等。

RPM包:https://download.01.org/intel-sgx/latest/linux-latest/distro/

Anolis86/

代码库:https://github.com/intel/SGXDataCenterAttestationPrimitives

Intel SGX SDK

在龙蜥生态中为开发者提供使用 Intel SGX 技术所需的软件开发套件,帮助开发者高效便捷地开发机密计算程序和解决方案。

RPM包:https://download.01.org/intel-sgx/latest/linux-latest/distro/

Anolis86/

代码库:https://github.com/intel/linux-sgx

Occlum

Occlum 是一个 TEE LibOS,是机密计算联盟(CCC, Confifidential Computing Consortium)的官方开源项目。目前 Occlum 支持 Intel SGX 和 HyperEnclave 两种 TEE。Occlum 在 TEE 环境中提供了一个兼容 Linux 的运行环境,使得 Linux 下的应用可以不经修改就在 TEE 环境中运行。Occlum 在设计时将安全性作为最重要的设计指标,在提升用户开发效率的同时保证了应用的安全性。Occlum 极大地降低了程序员开发 TEE 安全应用的难度,提升了开发效率。

主页:https://occlum.io/

代码库:https://github.com/occlum/occlum

提供 TEE 有关的 Kubernetes 基础服务 (如集群规模的密钥分发和同步服务、集群远程证明服务等),使得用户可以方便地将集群中多台 TEE 机器当作一个更强大的 TEE 来使用。

代码库:https://github.com/SOFAEnclave/KubeTEE

Apache Teaclave Java TEE SDK

Apache Teaclave Java TEE SDK(JavaEnclave)是一个面向 Java 生态的机密计算编程框架,它继承Intel SGX SDK所定义的Host-Enclave机密计算分割编程模型。JavaEnclave提供一种十分优雅的模式,对一个完整的Java应用程序进行分割与组织。它将一个Java项目划分成三个子模块,Common子模块定义SPI服务接口,Enclave子模块实现SPI接口并以Provider方式提供服务,Host子模块负责TEE环境的管理和Enclave机密服务的调用。整个机密计算应用的开发与使用模式符合Java经典的SPI设计模式,极大降低了Java机密计算开发门槛。此外,本框架创新性应用Java静态编译技术,将Enclave子模块Java代码编译成Native形态并运行在TEE环境,极大减小了Enclave攻击面,杜绝了Enclave发生注入攻击的风险,实现了极致安全的Java机密计算运行环境。

主页: https://teaclave.apache.org

代码库: https://github.com/apache/incubator-teaclave-java-tee-sdk

Gramine

Gramine 是一个轻量级的 LibOS,旨在以最小的主机要求运行单个应用程序。Gramine 可以在一个隔离的环境中运行应用程序。其优点是可定制,易移植,方便迁移,可以媲美虚拟机。 在架构上 Gramine 可以在任何平台上支持运行未修改的 Linux 二进制文件。目前,Gramine 可以在 Linux 和 Intel SGX enclave 环境中工作。

主页:https://gramine.readthedocs.io/

代码库:https://github.com/gramineproject/gramine

TDX机密容器&机密虚拟机

Intel Trust Domain Extension (TDX) 基于虚拟化扩展机密计算的隔离能力,通过构建机密虚拟机,为业务负载提供了虚拟机级别的机密计算的运行环境。通过Linux社区对TDX机密虚拟机的生态支持, 基于Linux的业务应用可以方便的迁移到机密计算环境中。此外,Intel TDX Pod 级机密容器将TDX机密虚拟机技术同容器生态无缝集成,以云原生方式运行,保护敏感工作负载和数据的机密性和完整性。在机密虚拟机内部,默认集成了 image-rs 和 attestation-agent 等组件,实现了容器镜像的拉取、授权、验签、解密、远程证明以及秘密注入等安全特性。

相关实践学习
CentOS 7迁移Anolis OS 7
龙蜥操作系统Anolis OS的体验。Anolis OS 7生态上和依赖管理上保持跟CentOS 7.x兼容,一键式迁移脚本centos2anolis.py。本文为您介绍如何通过AOMS迁移工具实现CentOS 7.x到Anolis OS 7的迁移。
相关文章
|
2月前
|
运维 Cloud Native 云计算
云原生技术:探索未来计算的无限可能
【10月更文挑战第8天】 云原生技术,作为云计算领域的一次革新性突破,正引领着企业数字化转型的新浪潮。它不仅重塑了应用的构建、部署和运行方式,还通过极致的弹性、敏捷性和可扩展性,解锁了未来计算的无限潜力。本文将深入浅出地解析云原生技术的核心理念、关键技术组件及其在不同行业中的实际应用案例,展现其如何赋能业务创新,加速企业的云化之旅。
68 7
|
1月前
|
Kubernetes Cloud Native Ubuntu
庆祝 .NET 9 正式版发布与 Dapr 从 CNCF 毕业:构建高效云原生应用的最佳实践
2024年11月13日,.NET 9 正式版发布,Dapr 从 CNCF 毕业,标志着云原生技术的成熟。本文介绍如何使用 .NET 9 Aspire、Dapr 1.14.4、Kubernetes 1.31.0/Containerd 1.7.14、Ubuntu Server 24.04 LTS 和 Podman 5.3.0-rc3 构建高效、可靠的云原生应用。涵盖环境准备、应用开发、Dapr 集成、容器化和 Kubernetes 部署等内容。
55 5
|
2月前
|
人工智能 Cloud Native 安全
从云原生到 AI 原生,网关的发展趋势和最佳实践
本文整理自阿里云智能集团资深技术专家,云原生产品线中间件负责人谢吉宝(唐三)在云栖大会的精彩分享。讲师深入浅出的分享了软件架构演进过程中,网关所扮演的各类角色,AI 应用的流量新特征对软件架构和网关所提出的新诉求,以及基于阿里自身实践所带来的开源贡献和商业能力。
248 13
|
2月前
|
监控 Cloud Native 持续交付
云原生架构下微服务的最佳实践与挑战####
【10月更文挑战第20天】 本文深入探讨了云原生架构在现代软件开发中的应用,特别是针对微服务设计模式的最优实践与面临的主要挑战。通过分析容器化、持续集成/持续部署(CI/CD)、服务网格等关键技术,阐述了如何高效构建、部署及运维微服务系统。同时,文章也指出了在云原生转型过程中常见的难题,如服务间的复杂通信、安全性问题以及监控与可观测性的实现,为开发者和企业提供了宝贵的策略指导和解决方案建议。 ####
50 5
|
1月前
|
Kubernetes Cloud Native 持续交付
云原生架构下的微服务设计原则与最佳实践##
在数字化转型的浪潮中,云原生技术以其高效、灵活和可扩展的特性成为企业IT架构转型的首选。本文深入探讨了云原生架构的核心理念,聚焦于微服务设计的关键原则与实施策略,旨在为开发者提供一套系统性的方法论,以应对复杂多变的业务需求和技术挑战。通过分析真实案例,揭示了如何有效利用容器化、持续集成/持续部署(CI/CD)、服务网格等关键技术,构建高性能、易维护的云原生应用。文章还强调了文化与组织变革在云原生转型过程中的重要性,为企业顺利过渡到云原生时代提供了宝贵的见解。 ##
|
2月前
|
Kubernetes Cloud Native 开发者
探秘云原生计算:Kubernetes与Docker的协同进化
在这个快节奏的数字时代,云原生技术以其灵活性和可扩展性成为了开发者们的新宠。本文将带你深入了解Kubernetes和Docker如何共同塑造现代云计算的架构,以及它们如何帮助企业构建更加敏捷和高效的IT基础设施。
|
2月前
|
存储 运维 监控
云原生应用的可观察性:理解、实现与最佳实践
【10月更文挑战第10天】随着云原生技术的发展,可观察性成为确保应用性能和稳定性的重要因素。本文探讨了云原生应用可观察性的概念、实现方法及最佳实践,包括监控、日志记录和分布式追踪的核心组件,以及如何通过选择合适的工具和策略来提升应用的可观察性。
|
3月前
|
Cloud Native 关系型数据库 Serverless
基于阿里云函数计算(FC)x 云原生 API 网关构建生产级别 LLM Chat 应用方案最佳实践
本文带大家了解一下如何使用阿里云Serverless计算产品函数计算构建生产级别的LLM Chat应用。该最佳实践会指导大家基于开源WebChat组件LobeChat和阿里云函数计算(FC)构建企业生产级别LLM Chat应用。实现同一个WebChat中既可以支持自定义的Agent,也支持基于Ollama部署的开源模型场景。
633 26
|
4月前
|
运维 Cloud Native 云计算
云原生架构的演进:从微服务到无服务器计算
在数字化转型的浪潮中,云原生技术以其灵活性、可扩展性和成本效益性,成为推动现代软件开发和运维的关键力量。本文将探讨云原生概念的演变,特别是从微服务架构到无服务器计算的转变,揭示这一进化如何影响应用程序的开发、部署和管理。通过分析实际案例,我们旨在提供对云原生技术未来趋势的洞察,同时指出企业在这一转变过程中可能面临的挑战和机遇。
54 2
|
5月前
|
运维 Cloud Native 持续交付
云原生架构的演进:从微服务到无服务器计算
【7月更文挑战第28天】在数字化浪潮的推动下,云原生技术不断演进,引领着软件开发和运维模式的革新。本文将深入探讨云原生架构的发展历程,着重分析微服务架构与无服务器计算模型如何相互补充,共同推动现代应用的开发与部署。我们将从微服务的基本原则出发,探索其如何赋能团队快速迭代和扩展应用,进而阐述无服务器计算如何简化资源管理,降低运营成本。通过对比分析,揭示两者结合的优势,为读者提供构建未来云原生应用的洞见。
下一篇
DataWorks