通過(guò)標(biāo)準(zhǔn)化簡(jiǎn)化采用過(guò)程

翻譯自 Confidential Containers in Kubernetes 。

介紹

對(duì)于處理敏感數(shù)據(jù)的組織來(lái)說(shuō)，機(jī)密計(jì)算變得越來(lái)越重要。隨著 Kubernetes 的普及，通過(guò)在容器工作負(fù)載的 Pod 層面標(biāo)準(zhǔn)化機(jī)密計(jì)算將使用戶(hù)受益。云原生計(jì)算基金會(huì)（CNCF）的 Confidential Containers（CoCo）?項(xiàng)目旨在通過(guò)提供標(biāo)準(zhǔn)化的方法在 Kubernetes 上部署機(jī)密容器工作負(fù)載來(lái)滿(mǎn)足這種需求。在本文中，我們將探討這種標(biāo)準(zhǔn)化方法的好處，以及 CoCo 項(xiàng)目如何為使用機(jī)密計(jì)算的新業(yè)務(wù)工作負(fù)載提供基礎(chǔ)。

為什么標(biāo)準(zhǔn)化有助于采用？

標(biāo)準(zhǔn)化在任何技術(shù)的廣泛采用中起著關(guān)鍵作用。對(duì)于 Kubernetes 中的機(jī)密計(jì)算而言，標(biāo)準(zhǔn)化帶來(lái)了多重好處：

1. 互操作性：標(biāo)準(zhǔn)化確保不同的機(jī)密計(jì)算技術(shù)實(shí)現(xiàn)可以無(wú)縫地協(xié)同工作。它允許用戶(hù)在保證兼容性和減少供應(yīng)商鎖定的同時(shí)，從多個(gè)提供商中進(jìn)行選擇。

2. 部署簡(jiǎn)易性：標(biāo)準(zhǔn)化通過(guò)提供一致且熟悉的框架簡(jiǎn)化了部署。Kubernetes 用戶(hù)可以利用現(xiàn)有的工作流程和工具，無(wú)需深入了解底層機(jī)密計(jì)算技術(shù)。

3. 安全性：標(biāo)準(zhǔn)化加速并有助于安全評(píng)估和審核，增強(qiáng)了采用這些技術(shù)的組織的信心。

4. 社區(qū)合作：標(biāo)準(zhǔn)化促進(jìn)了社區(qū)內(nèi)的合作，允許專(zhuān)家們共同努力，共同開(kāi)發(fā)最佳實(shí)踐、指南和工具。這種合作努力推動(dòng)創(chuàng)新，并確保機(jī)密計(jì)算技術(shù)的持續(xù)改進(jìn)。

最終，從技術(shù)中獲得業(yè)務(wù)效益應(yīng)該是一種無(wú)聊的部署和維護(hù)過(guò)程。這就是 CNCF CoCo 項(xiàng)目的整個(gè)前提。

對(duì) CNCF CoCo 項(xiàng)目的簡(jiǎn)要介紹

CoCo 項(xiàng)目為使用基于虛擬機(jī)（VM）或進(jìn)程的可信執(zhí)行環(huán)境（TEE）在 Kubernetes 上部署機(jī)密容器提供了一個(gè)共同的基礎(chǔ)。CoCo 項(xiàng)目旨在使用戶(hù)能夠在任何 Kubernetes 集群上以最小的變更運(yùn)行機(jī)密容器，而無(wú)需改動(dòng)現(xiàn)有的應(yīng)用程序和工作流程。

CoCo 項(xiàng)目提供了三種不同的方法來(lái)部署和管理機(jī)密容器，以適應(yīng)廣泛的機(jī)密計(jì)算環(huán)境：

1. 使用基于 VM 的 TEE 在本地虛擬機(jī)監(jiān)視器上部署機(jī)密容器

2. 使用基于 VM 的 TEE 在遠(yuǎn)程虛擬機(jī)監(jiān)視器上部署機(jī)密容器

3. 使用基于進(jìn)程的 TEE 部署機(jī)密容器

此外，CoCo 項(xiàng)目提供了一種遠(yuǎn)程證明 TEE（和工作負(fù)載） 的標(biāo)準(zhǔn)機(jī)制，使用證明代理和密鑰代理服務(wù)。

讓我們簡(jiǎn)要了解一下這三種部署方法和遠(yuǎn)程證明。

使用基于 VM 的 TEE 在本地虛擬機(jī)監(jiān)視器上部署機(jī)密容器

這種方法主要需要支持 AMD SEV、Intel TDX 或帶有 QEMU 的 IBM SE 等裸機(jī) Kubernetes 工作節(jié)點(diǎn)。下圖顯示了架構(gòu)概述圖。

支持機(jī)密計(jì)算的?Guest Components、Key Broker Service、Attestation Service?和?Kata 運(yùn)行時(shí)通過(guò) CoCo 項(xiàng)目提供，并在不同的方法中共享。

使用本地虛擬機(jī)監(jiān)視器在 Kubernetes 工作節(jié)點(diǎn)上部署機(jī)密容器

使用基于 VM 的 TEE 在遠(yuǎn)程虛擬機(jī)監(jiān)視器上部署機(jī)密容器

這種方法也稱(chēng)為 peer-pods 方法，它依賴(lài)于 Kata Containers 的遠(yuǎn)程虛擬機(jī)監(jiān)視器支持和 CoCo cloud-api-adaptor 項(xiàng)目。這種方法可以在任何 Kubernetes 集群上工作，而無(wú)需為工作節(jié)點(diǎn)提供機(jī)密計(jì)算硬件。它使用公共云或第三方基礎(chǔ)設(shè)施即服務(wù)（IaaS）提供商提供的機(jī)密虛擬機(jī)服務(wù)。下圖顯示了這種方法的高級(jí)架構(gòu)。

在與Kubernetes工作節(jié)點(diǎn)無(wú)關(guān)的遠(yuǎn)程虛擬機(jī)監(jiān)視器上部署機(jī)密容器

使用基于進(jìn)程的 TEE 部署機(jī)密容器

這種方法需要具備 Intel SGX 支持的 Kubernetes 工作節(jié)點(diǎn)，并使用 CoCo enclave-cc 項(xiàng)目。下圖顯示了高級(jí)架構(gòu)概述。

使用基于進(jìn)程的TEE部署機(jī)密容器

正如您所看到的，根據(jù)您選擇的機(jī)密容器部署和管理方法，CoCo 項(xiàng)目提供了構(gòu)建塊。

CoCo 中的遠(yuǎn)程證明

遠(yuǎn)程證明是一種機(jī)制，允許在機(jī)密計(jì)算環(huán)境中運(yùn)行的軟件組件向外部的受信任服務(wù)證明其可信性。它涉及生成和驗(yàn)證一組關(guān)于系統(tǒng)和軟件堆棧狀態(tài)的聲明，這些聲明由硬件密鑰簽名。

Confidential Containers（CoCo）項(xiàng)目遵循 IETF Remote Attestation Procedures（RATS）?的規(guī)定，如下圖所示：

Attester?是生成并發(fā)送證據(jù)給受信任服務(wù)的組件，該服務(wù)充當(dāng)依賴(lài)方。CoCo 項(xiàng)目實(shí)現(xiàn)了作為 Kubernetes Pod 的?Attester?的 attestation-agent 。Attester 需要從依賴(lài)方獲取密鑰以解密或驗(yàn)證組成 Pod 的容器映像。Attester 還可以用于獲取部署在 Pod 中的工作負(fù)載的密鑰。

Key Broker Service (KBS)?是充當(dāng) Attester 的依賴(lài)方的受信任服務(wù)。它使用 Attestation Service 對(duì)證據(jù)進(jìn)行驗(yàn)證，將其與參考值和策略進(jìn)行比較。如果驗(yàn)證成功，它將從密鑰管理服務(wù)中檢索密鑰并將其發(fā)送回 Attester 。KBS 確保只有可信任的 Attester 可以訪(fǎng)問(wèn)密鑰并運(yùn)行 Pod 工作負(fù)載。CoCo 項(xiàng)目提供了一個(gè) KBS 實(shí)現(xiàn)。

有關(guān)證明過(guò)程的更多詳細(xì)信息，請(qǐng)參閱我之前的博客。

CNCF CoCo 項(xiàng)目如何幫助？

CoCo 項(xiàng)目的目標(biāo)是在 Kubernetes Pod 層面為機(jī)密計(jì)算建立一個(gè)標(biāo)準(zhǔn)。它通過(guò)利用可信執(zhí)行環(huán)境（TEE）來(lái)保護(hù)容器和數(shù)據(jù)來(lái)實(shí)現(xiàn)這一目標(biāo)。通過(guò)使用 CoCo ，在 Kubernetes 中使用機(jī)密計(jì)算變得更加容易。

利用 CoCo 項(xiàng)目進(jìn)行機(jī)密容器使用的幾個(gè)好處如下：

1. 簡(jiǎn)化部署：CoCo 項(xiàng)目提供了一個(gè) Kubernetes 操作員，可以快速在 Kubernetes 集群上建立機(jī)密容器環(huán)境。這消除了復(fù)雜的手動(dòng)配置需求，使用戶(hù)能夠?qū)Ｗ⒂趹?yīng)用程序而不是底層基礎(chǔ)設(shè)施。

2. 增強(qiáng)安全性：組織可以自信地部署敏感工作負(fù)載，知道它們?cè)?TEE 中得到了良好的保護(hù)。在 Kubernetes 工作負(fù)載中使用 TEE 為您的深度防御策略提供了額外的保護(hù)。

3. 簡(jiǎn)化工作流程：通過(guò) CoCo 項(xiàng)目，您可以將機(jī)密計(jì)算無(wú)縫集成到現(xiàn)有的 DevOps 工作流程和工具鏈中。您可以繼續(xù)使用熟悉的 Kubernetes 工作流程，利用機(jī)密計(jì)算功能部署容器工作負(fù)載。

4. 活躍社區(qū)：作為 CNCF 項(xiàng)目， CoCo 受益于積極而充滿(mǎn)活力的云原生社區(qū)。用戶(hù)和開(kāi)發(fā)人員參與每周會(huì)議，貢獻(xiàn)代碼，報(bào)告問(wèn)題，并在項(xiàng)目的發(fā)展中進(jìn)行合作。這種積極的社區(qū)參與確保了標(biāo)準(zhǔn)化機(jī)密計(jì)算解決方案的持續(xù)改進(jìn)和維護(hù)。

結(jié)論

在 Kubernetes 的 Pod 層面對(duì)機(jī)密計(jì)算進(jìn)行標(biāo)準(zhǔn)化帶來(lái)了眾多好處，包括互操作性、部署簡(jiǎn)易性、增強(qiáng)安全性和社區(qū)協(xié)作。

云原生計(jì)算基金會(huì)（CNCF）的 Confidential Containers（CoCo） 項(xiàng)目旨在通過(guò)提供一個(gè)標(biāo)準(zhǔn)化和熟悉的框架，簡(jiǎn)化在 Kubernetes 中使用機(jī)密計(jì)算。CoCo 項(xiàng)目有望對(duì)機(jī)密計(jì)算產(chǎn)生重大影響，因?yàn)樗菇M織能夠安全地執(zhí)行敏感工作負(fù)載并利用機(jī)密計(jì)算的能力，即使對(duì)底層技術(shù)了解不深。

通過(guò)接受標(biāo)準(zhǔn)化，行業(yè)更接近一個(gè)未來(lái)，其中機(jī)密計(jì)算成為一種廣泛接受的實(shí)踐，實(shí)現(xiàn)了新的工作負(fù)載，并確保敏感數(shù)據(jù)的安全處理和保護(hù)。

請(qǐng)考慮加入社區(qū)，并為容器工作負(fù)載的機(jī)密計(jì)算的發(fā)展做出貢獻(xiàn)。您可以參加我們的每周會(huì)議。此外，您可以加入 Slack 上的?#confidential-containers?頻道進(jìn)行討論。