2138.com

?
?

网站导航

当前位置:皇家娱乐主页 > 业界动态 >

蚂蚁开源KubeTEE:让机密计算支撑大规模k8s集群

更新日期:2020-10-18 05:04

                         

  9月25日,在上海外滩大会可信原生技术论坛上,蚂蚁宣布开源KubeTEE,一个云原生大规模集群化机密计算框架,解决在云原生中TEE可信实行技术特有的从开发、部署到运维整体流程中的相关问题。

  2018年,蚂蚁集团开始全面转型云原生架构。在落地云原生架构的过程中,蚂蚁集团的工程团队发现,新的技术在带来诸多红利的同时,也带来了很多新的挑战。其中,安全是云原生架构里被忽视的一块短板。经过不断地实践和探索,蚂蚁在2020年提出了“可信原生(Trust-Native)”的,将可信任性渗透到云原生架构的各层之中,打造全栈可信赖的云计算基础设施,为业务保驾护航。

  机密计算,以及可信实行TEE (Trusted Execution Environment) ,作为应用的运行安全的技术,也被蚂蚁引入并积极实践,形成了SOFAEnclave机密计算技术栈。SOFAEnclave包括三大组件:

  Occlum LibOS:解决业务开发过程中的问题,如传统TEE应用开发需要切分重构,依赖SDK特定编程语言等问题;

  HyperEnclave:解决TEE部署问题,如硬件TEE不普及、软硬件TEE使用一致性等问题;

  KubeTEE:解决TEE集群问题,包括云原生特有的从开发、部署到运维整体流程中的相关问题。

  2019年云栖大会上,蚂蚁首次先容了在SOFAEnclave机密计算技术栈方面的一些工作。一年来,Occlum LibOS已经开源,并捐献给CCC(Confidential Computing Consortium)机密计算联盟。CCC机密计算联盟隶属于Linux基金会,由业界多家科技巨头发起,致力于计算数据安全。Occlum捐献给CCC,将成为CCC社区首个中国发起的开源项目。

  本次KubeTEE的开源,是业界首个开源的TEE大规模集群整体解决方案。蚂蚁将持续拥抱和回馈开源社区,推动行业技术一起向前发展。

  KubeTEE是云原生场景下如何使用TEE技术的一套整体解决方案,包括多个框架、工具和微服务的集合。就像其名字所暗示的,KubeTEE结合Kubernetes和TEE两个重要技术方向,解决可信应用从单点到容器化集群实施过程中的相关问题。

  KubeTEE的目标之一是提供Serverless形态的机密计算服务,比如Trusted FaaS,让业务方只需要实现业务核心逻辑,就可以简单地将之提交到TEE中运行,而不用重复整套的业务服务开发、部署和运维的流程。

  目前服务器端TEE技术最成熟的代表就是Intel SGX技术,目前KubeTEE相关工作也都基于SGX实现。要让一个基于SGX开发的可信应用能够运行起来并持续服务,除了类似一般业务的普通流程以外,还需要一些额外的SGX技术相关工作。

  从完整的App工程角度看,如果让每个业务开发团队都去重复这些繁琐的工程工作,那无疑常低效的。KubeTEE的目标是通过云原生的手段简化上述过程,帮助业务方更简单、更顺畅地实现基于TEE的可信应用和服务,具体包括可信应用开发支撑、基础设施支撑和微服务辅助支撑等方面。

  总体来说,KubeTEE支撑如下整个可信应用的开发流程: 基于开发框架的应用开发 -> 应用自动化签名服务 -> 基于基础镜像和模板工具的容器打包和上传。

  为了满足不同应用场景的开发需求,在Occlum LibOS基础上,KubeTEE开源了TFF可信应用开发框架。

  其中Occlum LibOS主要适用于一些不想修改的旧应用迁移到TEE,或者一些基于大型框架的不适合切分的应用,或者C++以外其他编程语言开发的应用等。而TFF框架主要适用于需要严格控制Enclave内部代码性能和安全的轻量应用场景,所以了对复杂应用的兼容(这部分Occlum LibOS可以更好的支撑),是让TEE原生SDK支撑的分割式编程模型更加稳定和易用。

  TFF利用protobuf message简化可信和非可信部分接口函数定义的复杂度、封装远程证明等TEE技术底层细节和流程,让使用者只需要关心可数的实现和调用逻辑,快速实现可信应用。

  因为同样使用了protobuf message来封装数据,所以利用TFF框架开发基于gRPC的微服务也变得更容易。另外TFF还提供容器了基础容器镜像和dockerfile文件模板,帮助使用者快速制作一个可信应用容器镜像。

  应用开发就绪之后,需要部署到硬件集群中。在基础设施方面,KubeTEE基于Kubernetes,利用云原生的方式管理和使用SGX物理机器,统一SGX主机,并抽象成容器逻辑资源池,提供统一的可信应用部署服务,让TEE硬件基础设施成为一种可以按需使用的集群化资源。

  KubeTEE开源的sgx-device-plugin让业务容器启动时候自动获取TEE特性支撑,同时方便集群管理和分配TEE资源。 从工程实践角度,集群中可以隔离CI、测试、预发和生产,满足业务不同阶段对TEE基础设施的需求。

  业务部署到TEE集群中以后,会产生一些远程证明、业务密钥部署和共享、网络代理等通用性需求,还有日志、、自愈、扩缩容等运维系统需求。KubeTEE提供了一些辅助微服务来帮助业务方节省重复开发的人力和时间成本。

  其中,KubeTEE开源的AECS(Attestation based Enclave Configuration Service)方案就是为了解决可信应用多个实例间安全共享密钥从而实现无状态服务的问题。 AECS主要提供秘钥生成、导入、存储、管理和分发,远程证告代理获取等基础功能,将来可能扩展更多通用配置管理功能,比如证书生成和分发。同时,AECS支撑多种secret格式和自定义的secret访问policy,支撑多业务之间秘钥隔离管理。

  目前,KubeTEE已经可以较大程度帮助业务方降低TEE开发复杂度,但是依然任重道远。KubeTEE下一阶段将更多关注云原生场景和机密计算的结合,持续贡献更多组件以及通用服务,让TEE的使用更高效、更简单、更云原生化。

  特别提醒:本网内容转载自其他,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经2138.com,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性2138.com不作任何或承诺,并请自行核实相关内容。2138.com不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容您的权益,请及时联系大家,2138.com将会在24小时内处理完毕。

  9月25日,在上海外滩大会可信原生技术论坛上,蚂蚁宣布开源KubeTEE,一个云原生大规模集群化机密计...

  9 月 30 日消息 希捷现已正式发布 Xbox Series XS 专用存储扩展卡,1TB 售价 1699 元,...

  9 月 30 日消息 根据中国联通的消息,9 月 29 日,由海南联通、中讯邮电咨询设计院、新万基卫星...

  9 月 30 日消息 根据外国媒体 AnandTech 的消息,技嘉推出了一款类似于英特尔 NUC 的迷你主机,搭载了 1...

  9月28日,alibaba打假联盟(简称AACA)宣布,将升级机制把中小型企业的知产提升至更高水平...

  9月30日消息 外国媒体 MacRumors 报道,根据提交给美国证券交易委员会的文件显示,苹果 CEO 蒂姆 &middo...

  一年一度的国庆节马上就到了,想必有很多小伙伴都已计划好了去哪里旅游,而在旅游的过程中,用手机...

  话说,今年如果要搞个最火企业榜单,那Zoom绝对算得上是名列前茅的。反正,八姐有炒股盆友,就因为...

  自9月22日vivo发布首款智能手表以来,vivo WATCH凭借其精湛工艺、24小时健康监测和最长达18天的强劲...

  预计HUAWEI将于 10 月发布 Mate 40 系列旗舰手机,除此之外现在有信息表明,Mate X2 也可能在不久的将...

  近日,由人民日引导,学问传媒有限企业和HUAWEI企业联合主办的“新基建 新经济 高峰...

  9月30日消息,百度宣布旗下智能生活事业群组业务(以下简称“小度科技”)完成了融资协...

  种种迹象表明在明天的硬件活动中,GOOGLE将会推出 Chromecast 新品。在“”正式发布之...

  9 月 30 日消息 七彩虹战戟系列 SSD 正式发布,采用了联芸科技主控和长江存储 3D TLC 颗粒。

  网讯(记者 赵艳艳 李俊男)直播在中国盛行已久,只不过早期的“直播”并不是通过互联...

  近日,西人马发布零风险生态塔斯云,集微网专访西人马解决方案经理郭英俊,深入探讨数字物联世界的...

  人工智能从后台智能推算、到语音交流、到智能机器人,表现形式越来越丰富。人工智能、5G、AR、VR等...

  致敬英雄,聆听英雄分享抗疫故事;英雄,台铃抗疫报告微影片《摆渡英雄》全球首映;表彰英雄,向...


?
2138.com

粤ICP备15033969号-5

XML 地图 | Sitemap 地图