Inclavare Containers是针对云原生生态系统的创新性容器运行时技术,旨在将安全计算(Confidential Computing)引入云计算环境。这项技术的主要目标是通过硬件加密来实现更强大的隔离,降低租户工作负载的可信计算基(TCB,Trusted Computing Base)复杂性,并构建通用的验证基础设施。
Inclavare Containers的核心特点是创建了基于硬件加密的隔离环境,这主要得益于Intel SGX(Software Guard Extensions)技术。SGX为应用程序提供了一个受保护的区域,称为Enclave,可以存储和处理敏感数据,即使在操作系统、虚拟化层或其它应用程序受到攻击的情况下,也能确保数据的安全性。Inclavare Containers将这种Enclave概念与容器相结合,创建了PodEnclave,进一步提升了云服务的安全性。
在Inclavare Containers的架构中,PodEnclave是一种特殊的容器,它包含了runc(标准容器运行时)和pause容器,同时集成了Enclave(可信执行环境,TEE)。Enclave Runtimes如Occlum和Graphene是轻量级操作系统,用于在Enclave内运行应用。此外,Just-In-Time编译器如WAMR也可能被用来优化Enclave内的代码执行。PAL API(Platform Abstraction Layer)则提供了与不同Enclave运行时的接口,使得Inclavare Containers能轻松地与各种硬件平台和软件栈集成。
目前,Inclavare Containers已经实现了与Kubernetes的紧密集成,通过init-runelet等组件,可以在Kubernetes集群上创建安全的Confidential Kubernetes服务。这使得用户能够在保持云原生生态系统灵活性和扩展性的同时,构建基于零信任原则的云保密计算基础设施。
Inclavare Containers的发展历程从早期的Epiphany PoC开始,逐步实现了对Occlum等Enclave运行时的支持,开放源代码,增加了对SGX内核驱动的适配,以及支持创建Confidential Computing K8s集群等功能。随着版本的迭代,如0.4.0引入了RA-TLS的概念和Enclave Pooling Manager框架,0.5.0版本则将Enclave验证与Intel的Attestation服务结合,不断强化了安全性和可管理性。
Inclavare Containers的立场是开放和中立的,这有助于推动整个云安全计算领域的标准化和互操作性。通过不断的创新和改进,Inclavare Containers正逐渐成为解决云服务提供商(CSP)可信问题,降低租户对CSP的信任依赖的关键技术,旨在构建一个更加安全、可靠的云计算环境。
VIP享7折,此内容立减5.97元 
