近日蚂蚁团体在上海外滩大会可信原生技术论坛上发表开源 KubeTEE。
KubeTEE 是一个云原生大规模集群化秘密计算框架,旨在解决在云原生环境中 TEE 可信执行环境技术特有的从开发、部署到运维整体流程中的相干问题。这是业界首个开源的 TEE 大规模集群整体解决方案。
背景:
2018 年,蚂蚁团体开始全面转型云原生架构。2020 年,该团体又提出了“可信原生(Trust-Native)”的理念,将可信任性渗透到云原生架构的各层之中,打造全栈可信赖的云计算基础设施。
而作为爱护利用的运行平安的技术,秘密计算理念以及可信执行环境 TEE (Trusted Execution Environment) 也被蚂蚁引入并踊跃实际,造成了 SOFAEnclave 秘密计算技术栈。
SOFAEnclave 包含三大组件:
- Occlum LibOS:解决业务开发过程中的问题,如传统 TEE 利用开发须要切分重构,依赖 SDK 特定编程语言等问题;
- HyperEnclave:解决 TEE 部署环境问题,如硬件 TEE 不遍及、软硬件 TEE 应用一致性等问题;
- KubeTEE:解决 TEE 集群问题,包含云原生环境特有的从开发、部署到运维整体流程中的相干问题。
此前,Occlum LibOS 曾经开源,并募捐给了 CCC(Confidential Computing Consortium)秘密计算联盟。CCC 秘密计算联盟隶属于 Linux 基金会,由业界多家科技巨头发动,致力于爱护计算数据安全。Occlum 募捐给 CCC,则将成为 CCC 社区首个中国发动的开源我的项目。
KubeTEE 则是云原生场景下如何应用 TEE 技术的一套整体解决方案,包含多个框架、工具和微服务的汇合。其联合了 Kubernetes 和 TEE 两个重要技术方向,解决可信利用从单点到容器化集群施行过程中的相干问题。
KubeTEE 的指标之一是提供 Serverless 状态的秘密计算服务,比方 Trusted FaaS,让业务方只须要实现业务外围逻辑,就能够简略地将之提交到 TEE 环境中运行,而不必反复整套的业务服务开发、部署和运维的流程。
KubeTEE:金融级云原生的秘密计算集群
针对 Enclave 集群化方面的问题,蚂蚁团体去年就开始思考如何能更高效和简洁的应用 TEE 资源提供秘密计算服务,他们的解决办法是 KubeTEE——联合云原生,提供秘密计算集群服务。
一方面防止了业务用户反复进行基础设施建设,另一方面用户注册账号即可应用秘密计算集群服务,大大降低了秘密计算门槛,进步了易用性和利用率。KubeTEE 为了更高效的应用物理资源,基于 k8s + container 更优雅地部署和治理秘密计算镜像和 EPC 资源。基于 k8s 的容器调度能力,KubeTEE 能够疾速实现秘密计算服务资源的横向扩缩容。概括来说,他们心愿以一种更加云原生的形式来应用 Enclave 和秘密计算集群资源。
提供基于 Enclave Container 的业务部署能力,基础设施运维和业务无感知降级等能力;
提供 Serverless 秘密计算服务,基于通用的秘密计算资源池反对业务服务;
基于通用的秘密计算组件、中间件服务和研发流程联合提供平台化的业务开发能力;
实现 Serverless 秘密计算集群的过程,咱们一方面提供最终态的秘密计算服务,同时将过程中积攒的组件抽象化为可复用模块,应答不同业务的定制化需要,晋升秘密计算业务的 Enclave 开发效率。
蚂蚁团体方面示意,目前,尽管 KubeTEE 曾经能够较大水平帮忙业务方升高 TEE 开发复杂度,但还有很大的提高空间。KubeTEE 下一阶段将更多关注云原生场景和秘密计算的联合,继续奉献更多组件以及通用服务,让 TEE 的应用更高效、更简略、更云原生化。也 KubeTEE 能和业界携手,共建更残缺的云端平安计算生态。