简介: Inclavare Containers 通过云原生计算基金会(CNCF)TOC 投票正式成为 CNCF 官方沙箱项目。

作者|彦荣

2021 年 9月 15 日,Inclavare Containers 通过云原生计算基金会(CNCF)TOC 投票正式成为 CNCF 官方沙箱项目。Inclavare Containers 是一个最初由阿里云操作系统安全团队和云原生容器平台团队共同研发,并联合 Intel 共同打造的业界首个面向机密计算场景的开源容器运行时项目。

Inclavare Containers 项目地址:

GitHub - alibaba/inclavare-containers: A novel container runtime, aka confidential container, for cloud-native confidential computing and enclave runtime ecosystem.

首个机密计算开源容器运行时- Inclavare Containers

云原生环境下,机密计算技术基于硬件可执行环境,为用户在使用(计算)过程中的敏感数据提供了机密性和完整性的保护,但是同时也面临着开发、使用和部署门槛高、敏感应用容器化操作复杂、Kubernetes 不提供原生支持、以及缺乏统一的跨云部署方案等一系列问题;而 Inclavare Containers 正是为解决这些问题而生的。

Inclavare Containers 系统架构图

Inclavare Containers 能够与 Kubernetes 和 Docker 进行集成,是业界首个面向机密计算场景的开源容器运行时,其目标是为业界和开源社区提供面向云原生场景的机密容器技术、机密集群技术和通用的远程证明安全架构,并力争成为该领域的事实标准。该项目于 2020 年 5 月开源,短短一年多时间内发展迅速,吸引了众多领域专家和工程师的关注与贡献。

五大特色功能,为用户数据保驾护航

Inclavare Containers 采用了新颖的方法在基于硬件的可信执行环境中启动受保护的容器,以防止不受用户信任的实体访问用户的敏感数据。其核心功能和特点包括:

  • 移除对云服务提供商的信任,实现零信任模型:Inclavare Containers 的安全威胁模型假设用户无需信任云服务提供商,即用户工作负载的安全性不再依赖云服务提供商控制的特权组件。
  • 提供通用的远程证明安全架构:通过构建通用且跨平台的远程证明安全架构,能够向用户证明其敏感的工作负载是运行在真实可信的基于硬件的可信执行环境中,且硬件的可信执行环境可以基于不同的机密计算技术。
  • 定义了通用的 Enclave Runtime API 规范:通过标准的 API 规范来对接各种形态的 Enclave Runtime,在简化特定的 Enclave Runtime 对接云原生生态的同时,也为用户提供了更多的技术选择。目前,Occlum、Graphene 和 WAMR 均为 Inclavare Containers 提供了 Enclave 运行时的支持。
  • OCI兼容:Inclavare Containers 项目设计并实现了符合 OCI 运行时规范的新型 OCI 运行时 rune,以便与现有的云原生生态系统保持一致,实现了机密容器形态。用户的敏感应用以机密容器的形式部署和运行,并保持与使用普通容器相同的使用体感。
  • 与 Kubernetes 生态无缝整合:Inclavare Containers 可以部署在任何公共云 Kubernetes 平台中,实现了统一的机密容器部署方式。

加速云原生基础设施拥抱机密计算

Inclavare Containers 开源项目致力于通过结合学术界的原创研究和工业界的落地实践能力,加速云原生基础设施拥抱机密计算,通过中立化的社区构建云原生机密计算安全技术架构。除了已经与 Intel 建立了合作关系外,计划在之后与其他芯片厂商陆续建立类似的合作关系;此外,我们已经开始与高校和学术界建立新的合作关系,以挖掘出 Inclavare Containers 在机密计算领域的更多潜能。

作为业界首个面向机密计算场景的开源容器运行时,Inclavare Containers 将向安全、更易用、智能可扩展的架构方向演进。在不断深化实施零信任模型原则的同时,不断提升开发者和用户的使用体验,并最终完全消除与运行普通容器在使用体感上的差异。未来,Inclavare Containers 将继续与社区并肩、与生态同行,致力于推进云原生技术在机密计算系统领域的生态建设和普及,与全球开发者一起拓展云原生的边界。

目前,Inclavare Containers 成为龙蜥社区云原生机密计算 SIG 的项目之一:致力于通过开源社区合作共建的方式,向业界提供开源和标准化的机密计算技术以及安全架构,推动云原生场景下的机密计算技术的发展。

原文链接

本文为阿里云原创内容,未经允许不得转载。

业界首个机密计算容器运行时—Inclavare Containers正式进入CNCF!的更多相关文章

  1. 浅析容器运行时奥秘——OCI标准

    背景 2013年Docker开源了容器镜像格式和运行时以后,为我们提供了一种更为轻量.灵活的"计算.网络.存储"资源虚拟化和管理的解决方案,在业界迅速火了起来. 2014年更是容器 ...

  2. 第28 章 : 理解容器运行时接口 CRI

    理解容器运行时接口 CRI CRI 是 Kubernetes 体系中跟容器打交道的一个非常重要的部分.本文将主要分享以下三方面的内容: CRI 介绍 CRI 实现 相关工具 CRI 介绍 在 CRI ...

  3. CRI 与 ShimV2:一种 Kubernetes 集成容器运行时的新思路

    摘要: 关于 Kubernetes 接口化设计.CRI.容器运行时.shimv2.RuntimeClass 等关键技术特性的设计与实现.     Kubernetes 项目目前的重点发展方向,是为开发 ...

  4. kubernetes/k8s CRI分析-容器运行时接口分析

    关联博客:kubernetes/k8s CSI分析-容器存储接口分析 概述 kubernetes的设计初衷是支持可插拔架构,从而利于扩展kubernetes的功能.在此架构思想下,kubernetes ...

  5. 使用kubeoperator安装的k8s 版本1.20.14 将节点上的容器运行时从 Docker Engine 改为 containerd

    官方文档:https://kubernetes.io/zh-cn/docs/tasks/administer-cluster/migrating-from-dockershim/change-runt ...

  6. Kubernetes容器运行时弃用Docker转型Containerd

    文章转载自:https://i4t.com/5435.html Kubernetes社区在2020年7月份发布的版本中已经开始了dockershim的移除计划,在1.20版本中将内置的dockersh ...

  7. Gartner首推机密计算:阿里云名列其中

    近日,全球信息技术研究机构Gartner发布了2019年云安全技术成熟度曲线报告(Gartner, Hype Cycle for Cloud Security, 2019, Jay Heiser, S ...

  8. iNeuOS工业互联网操作系统,脚本化实现设备运行时长和效率计算与统计

    目       录 1.      概述... 2 2.      实时采集开停状态... 2 3.      增加虚拟设备... 2 4.      脚本统计和计算设备运行时长... 4 5.    ...

  9. linux下实现在程序运行时的函数替换(热补丁)

    声明:以下的代码成果,是参考了网上的injso技术,在本文的最后会给出地址,同时非常感谢injso技术原作者的分享. 但是injso文章中的代码存在一些问题,所以后面出现的代码是经过作者修改和检测的. ...

  10. linux下实现在程序运行时的函数替换(热补丁)【转】

    转自:http://www.cnblogs.com/leo0000/p/5632642.html 声明:以下的代码成果,是参考了网上的injso技术,在本文的最后会给出地址,同时非常感谢injso技术 ...

随机推荐

  1. AQS很难,面试不会?看我一篇文章吊打面试官

    AQS很难,面试不会?看我一篇文章吊打面试官 大家好,我是小高先生.在这篇文章中,我将和大家深入探索Java并发包(JUC)中最为核心的概念之一 -- AbstractQueuedSynchroniz ...

  2. [noip2015]运输计划(LCA,二分)

    运输计划[做题笔记] 挺难绷的... 题意 概括:给定 \(n\) 个节点的树和 \(n-1\) 条边的权值,现在可以将一条边的权值改为 \(0\) .找出一条边,使得将这条边权值赋为 \(0\) 时 ...

  3. 【leetcode 952. 按公因数计算最大组件大小】【欧拉筛+并查集】

    import java.util.ArrayList; import java.util.Arrays; import java.util.List; class Solution { List< ...

  4. VR汽车虚拟仿真的实现、应用和未来

    汽车虚拟仿真技术是一种利用计算机模拟汽车运行的技术,以实现对汽车行为的分析.评估和改进.汽车虚拟仿真技术是汽车工业中重要的开发设计和测试工具,可以大大缩短产品研发周期.降低研发成本和提高产品质量.本文 ...

  5. js 时间控件 日期多选

    在开发的过程中,时间总是不可避免要出现的需求,这里给大家分享我比较常用的js 时间控件和一个问题的解决方法 layDate 官方文档地址:https://www.layui.com/laydate/ ...

  6. APP备案通知

    截至2024年4月1日前,所以已上市APP均需备案,未备案的可以登陆云擎官网进行备案. 关于工信部开展在中华人民共和国境内从事互联网信息服务的APP主办者,应当依法履行备案手续,未履行备案手续的,不得 ...

  7. KingbaseES V8R6数据库运维案例之---用户权限导致的备份恢复故障

    案例说明: 由于限制了用户对数据库的访问,导致在执行'sys_backup.sh init'初始化物理备份时,执行失败. 适用版本: KingbaseES V8R6 一.问题现象 如下所示,执行'sy ...

  8. KingbaseES 数据库连接

    一.数据准备: create table student( id int , s_name varchar(20), t_id int ); create table teacher( id int ...

  9. 前端 Typescript 入门

    前端 Typescript 入门 Ant design vue4.x 基于 vue3,示例默认是 TypeScript.比如 table 组件管理. vue3 官网介绍也使用了 TypeScript, ...

  10. windows系统命令行cmd查看显卡驱动版本号CUDA

    Win+R 输入cmd 进入命令行 输入 nvidia-smi