简介: Inclavare Containers 通过云原生计算基金会(CNCF)TOC 投票正式成为 CNCF 官方沙箱项目。

作者|彦荣

2021 年 9月 15 日,Inclavare Containers 通过云原生计算基金会(CNCF)TOC 投票正式成为 CNCF 官方沙箱项目。Inclavare Containers 是一个最初由阿里云操作系统安全团队和云原生容器平台团队共同研发,并联合 Intel 共同打造的业界首个面向机密计算场景的开源容器运行时项目。

Inclavare Containers 项目地址:

GitHub - alibaba/inclavare-containers: A novel container runtime, aka confidential container, for cloud-native confidential computing and enclave runtime ecosystem.

首个机密计算开源容器运行时- Inclavare Containers

云原生环境下,机密计算技术基于硬件可执行环境,为用户在使用(计算)过程中的敏感数据提供了机密性和完整性的保护,但是同时也面临着开发、使用和部署门槛高、敏感应用容器化操作复杂、Kubernetes 不提供原生支持、以及缺乏统一的跨云部署方案等一系列问题;而 Inclavare Containers 正是为解决这些问题而生的。

Inclavare Containers 系统架构图

Inclavare Containers 能够与 Kubernetes 和 Docker 进行集成,是业界首个面向机密计算场景的开源容器运行时,其目标是为业界和开源社区提供面向云原生场景的机密容器技术、机密集群技术和通用的远程证明安全架构,并力争成为该领域的事实标准。该项目于 2020 年 5 月开源,短短一年多时间内发展迅速,吸引了众多领域专家和工程师的关注与贡献。

五大特色功能,为用户数据保驾护航

Inclavare Containers 采用了新颖的方法在基于硬件的可信执行环境中启动受保护的容器,以防止不受用户信任的实体访问用户的敏感数据。其核心功能和特点包括:

  • 移除对云服务提供商的信任,实现零信任模型:Inclavare Containers 的安全威胁模型假设用户无需信任云服务提供商,即用户工作负载的安全性不再依赖云服务提供商控制的特权组件。
  • 提供通用的远程证明安全架构:通过构建通用且跨平台的远程证明安全架构,能够向用户证明其敏感的工作负载是运行在真实可信的基于硬件的可信执行环境中,且硬件的可信执行环境可以基于不同的机密计算技术。
  • 定义了通用的 Enclave Runtime API 规范:通过标准的 API 规范来对接各种形态的 Enclave Runtime,在简化特定的 Enclave Runtime 对接云原生生态的同时,也为用户提供了更多的技术选择。目前,Occlum、Graphene 和 WAMR 均为 Inclavare Containers 提供了 Enclave 运行时的支持。
  • OCI兼容:Inclavare Containers 项目设计并实现了符合 OCI 运行时规范的新型 OCI 运行时 rune,以便与现有的云原生生态系统保持一致,实现了机密容器形态。用户的敏感应用以机密容器的形式部署和运行,并保持与使用普通容器相同的使用体感。
  • 与 Kubernetes 生态无缝整合:Inclavare Containers 可以部署在任何公共云 Kubernetes 平台中,实现了统一的机密容器部署方式。

加速云原生基础设施拥抱机密计算

Inclavare Containers 开源项目致力于通过结合学术界的原创研究和工业界的落地实践能力,加速云原生基础设施拥抱机密计算,通过中立化的社区构建云原生机密计算安全技术架构。除了已经与 Intel 建立了合作关系外,计划在之后与其他芯片厂商陆续建立类似的合作关系;此外,我们已经开始与高校和学术界建立新的合作关系,以挖掘出 Inclavare Containers 在机密计算领域的更多潜能。

作为业界首个面向机密计算场景的开源容器运行时,Inclavare Containers 将向安全、更易用、智能可扩展的架构方向演进。在不断深化实施零信任模型原则的同时,不断提升开发者和用户的使用体验,并最终完全消除与运行普通容器在使用体感上的差异。未来,Inclavare Containers 将继续与社区并肩、与生态同行,致力于推进云原生技术在机密计算系统领域的生态建设和普及,与全球开发者一起拓展云原生的边界。

目前,Inclavare Containers 成为龙蜥社区云原生机密计算 SIG 的项目之一:致力于通过开源社区合作共建的方式,向业界提供开源和标准化的机密计算技术以及安全架构,推动云原生场景下的机密计算技术的发展。

原文链接

本文为阿里云原创内容,未经允许不得转载。

业界首个机密计算容器运行时—Inclavare Containers正式进入CNCF!的更多相关文章

  1. 浅析容器运行时奥秘——OCI标准

    背景 2013年Docker开源了容器镜像格式和运行时以后,为我们提供了一种更为轻量.灵活的"计算.网络.存储"资源虚拟化和管理的解决方案,在业界迅速火了起来. 2014年更是容器 ...

  2. 第28 章 : 理解容器运行时接口 CRI

    理解容器运行时接口 CRI CRI 是 Kubernetes 体系中跟容器打交道的一个非常重要的部分.本文将主要分享以下三方面的内容: CRI 介绍 CRI 实现 相关工具 CRI 介绍 在 CRI ...

  3. CRI 与 ShimV2:一种 Kubernetes 集成容器运行时的新思路

    摘要: 关于 Kubernetes 接口化设计.CRI.容器运行时.shimv2.RuntimeClass 等关键技术特性的设计与实现.     Kubernetes 项目目前的重点发展方向,是为开发 ...

  4. kubernetes/k8s CRI分析-容器运行时接口分析

    关联博客:kubernetes/k8s CSI分析-容器存储接口分析 概述 kubernetes的设计初衷是支持可插拔架构,从而利于扩展kubernetes的功能.在此架构思想下,kubernetes ...

  5. 使用kubeoperator安装的k8s 版本1.20.14 将节点上的容器运行时从 Docker Engine 改为 containerd

    官方文档:https://kubernetes.io/zh-cn/docs/tasks/administer-cluster/migrating-from-dockershim/change-runt ...

  6. Kubernetes容器运行时弃用Docker转型Containerd

    文章转载自:https://i4t.com/5435.html Kubernetes社区在2020年7月份发布的版本中已经开始了dockershim的移除计划,在1.20版本中将内置的dockersh ...

  7. Gartner首推机密计算:阿里云名列其中

    近日,全球信息技术研究机构Gartner发布了2019年云安全技术成熟度曲线报告(Gartner, Hype Cycle for Cloud Security, 2019, Jay Heiser, S ...

  8. iNeuOS工业互联网操作系统,脚本化实现设备运行时长和效率计算与统计

    目       录 1.      概述... 2 2.      实时采集开停状态... 2 3.      增加虚拟设备... 2 4.      脚本统计和计算设备运行时长... 4 5.    ...

  9. linux下实现在程序运行时的函数替换(热补丁)

    声明:以下的代码成果,是参考了网上的injso技术,在本文的最后会给出地址,同时非常感谢injso技术原作者的分享. 但是injso文章中的代码存在一些问题,所以后面出现的代码是经过作者修改和检测的. ...

  10. linux下实现在程序运行时的函数替换(热补丁)【转】

    转自:http://www.cnblogs.com/leo0000/p/5632642.html 声明:以下的代码成果,是参考了网上的injso技术,在本文的最后会给出地址,同时非常感谢injso技术 ...

随机推荐

  1. Windows 环境使用 Xshell 连接 VMware 虚拟机上的 CentOS 系统

    1.VMware 点击虚拟机的设置,打开弹窗,网络使用 NAT 模式 2.VMware 菜单栏:点击 编辑>>>虚拟网络编辑器 (1)选择 VMnet8 (2)选择 NAT 模式 ( ...

  2. FTP的安装和使用

    实验环境: windows server虚拟机一台 网络适配器:vmnet1 ip:192.168.1.220 一.安装FTP服务 打开服务器管理器 点击添加角色,勾IIS,点击下一步直到对话框消失 ...

  3. 无人不识又无人不迷糊的this

    本文分享自华为云社区<3月阅读周·你不知道的JavaScript | 无人不识又无人不迷糊的this>,作者: 叶一一. 关于this this关键字是JavaScript中最复杂的机制之 ...

  4. C# 通用OCR识别 文字识别 中文识别

    软件说明 基于以下两个开源项目,做了再次封装 https://github.com/paddlepaddle/PaddleOCR PaddleOCRSharp: 本项目是一个基于PaddleOCR的C ...

  5. C# Winform 图片 Base64 转换

    //图片 转为 base64编码的文本 private void button1_Click(object sender, EventArgs e) { OpenFileDialog dlg = ne ...

  6. C# OpenCv DNN 人脸检测

    using OpenCvSharp; using OpenCvSharp.Dnn; using System; using System.Collections.Generic; using Syst ...

  7. NOIP 2007 普及组

    NOIP 2007 普及组(DONE) 注:本文不附原题,可上Luogu有题对照查询. 1.CPU:即中央处理器,由运算器+控制器+寄存器组成,不含主板(但CPU是装在主板上的). 2.二维表即常见的 ...

  8. Scala mutable.Map可变的Map

    1 package chapter07 2 3 import scala.collection.mutable 4 5 object Test09_MutableMap { 6 def main(ar ...

  9. Python爬虫初步---jupyterNptebook使用

    学习视频笔记:

  10. 【已解决】linux---bash: 无法为立即文档创建临时文件: 设备上没有空间

    /dev/mapper/centos-root   17G   17G   48K  100% / 参考:https://www.cnblogs.com/rainbow-1/p/15391407.ht ...