本文介紹ACK-TEE(ACK-Trusted Execution Environment)機密計算的概念、核心功能、適用情境、產品方案,以及ACK-TEE和ACK安全沙箱的配合作用等。
基礎概念
為有強安全訴求的使用者提供了基於硬體加密技術的雲原生一站式機密計算容器平台 ,它可以協助您保護資料使用(計算)過程中的安全性、完整性和機密性,同時簡化了可信或機密應用的開發、交付和管理成本。機密計算可以讓您把重要的資料和代碼放在一個特殊的可信執行加密環境(Trusted Execution Environment,TEE)中,而不會暴露給系統其他部分。其他應用、BIOS、OS、Kernel、管理員、營運人員、雲廠商、甚至除了CPU以外的其他硬體均無法訪問機密計算平台資料,極大減少敏感性資料的泄露風險,為您提供了更好的控制、透明度和隱秘性。
核心功能
保護並驗證雲端代碼和資料的完整性。
加密資料和代碼,避免在使用過程中被惡意窺探和竊取。
保障您對資料全生命週期的控制。
適用情境
區塊鏈
增強交易處理、共識、智能合約以及金鑰儲存區的隱私性和安全性。
密鑰管理
把密鑰管理功能放在Enclave中,提供類似硬體安全模組(HSM)的功能。
基因計算
敏感性資料,對敏感性資料的多方計算提供了隱私隔離。
金融
保護支付、交易的安全性。
AI
保護模型等核心機密資料,保護智慧財產權。
邊緣計算
保護雲、邊、端三位一體相互連信的安全以及隱秘性。
資料共用與計算
不同使用者或廠商之間相互共用資料以便挖掘更大的資料經濟價值,但不想把自己的資料泄露給對方。
產品方案
ACK-TEE1.1版的產品方案圖如下所示。
ACK已經上線了基於Intel SGX2.0技術的加密計算託管叢集,以便協助您簡化可信或機密應用的管理和交付成本。在公用雲端處理資料和代碼時,保護您資料和代碼的完整性和隱秘性,從可信計算基礎中擺脫雲廠商的影響。有關如何在ACK上直接建立加密計算託管叢集,請參見建立加密計算託管叢集。
建立加密計算託管叢集說明如下:
Worker節點需選擇規格類型系列為安全增強計算型c7t、安全增強通用型g7t、安全增強記憶體型r7t的型號。
說明Intel IceLake僅支援基於Intel SGX DCAP的遠程證明方式,不支援基於Intel EPID方式的遠程證明方式,您的程式可能需要適配後才能正常使用遠程證明功能。關於遠程證明的更多資訊,請參見attestation-services。
節點初始化時會自動安裝SGX2.0驅動以及TEE-SDK。TEE SDK是阿里雲提供的開發加密計算應用的開發人員套件,該套件提供與Intel Linux SGX SDK一致的開發模型和編程介面。
為了便於SGX2.0應用訪問AESM,叢集預設安裝了AESM DaemonSet。
通過自研的sgx-device-plugin,您可以輕鬆實現對SGX節點EPC記憶體資源的發現、管理以及調度。
ACK-TEE機密計算和ACK安全沙箱配合工作的應用情境
傳統OS(作業系統)容器攻擊模型
傳統OS容器(或稱為RunC容器)和宿主機共用Kernel,當核心出現漏洞,容器中惡意應用(如三方或您的應用)會利用漏洞逃逸並滲透到後端系統,危害其他應用和整個服務系統。
ACK安全沙箱隔離惡意應用並阻斷攻擊
ACK安全沙箱容器是基於輕量虛擬機器技術(Kangaroo)實現的強隔離。每個Pod都有自己獨立的OS和Kernel,這樣惡意應用的攻擊面從宿主機分級縮小至Pod層級,從而保護其他應用和後端系統。
ACK-TEE加密保護運行中的應用
ACK-TEE是ACK基於Kubernetes提供的機密計算解決方案,用於保護您的敏感代碼和資料,如IP保護、密鑰保護、隱秘通訊等。
雲端運算為您和企業提供了極大的便利,然而資料泄露成了上雲過程中最大的擔憂之一。資料泄露可能來源:
駭客攻擊
雲廠商的不可信任
雲基礎設施安全缺陷
營運和管理員
安全沙箱和ACK-TEE配合隔離惡意應用並保護敏感應用
ACK安全沙箱和ACK-TEE定位完全不同,它們之間可以相互配合,這樣在您的叢集中,既可以隔離惡意應用,又可以保護敏感的應用和資料,做到真正的雙向保護。