《机密容器探索与AI场景应用.pdf》由会员分享,可在线阅读,更多相关《机密容器探索与AI场景应用.pdf(31页珍藏版)》请在三个皮匠报告上搜索。
1、机密容器探索与AI场景应用New Future on CloudPeter ZhuIntel 软件与先进技术事业部 壮怀阿里云容器服务ACKContents目录01ACK机密容器02关键安全特性03AI应用数据和模型的保护ACK机密容器助力高价值应用和数据上云坚守安全原则零信任 权限最小化安全左移“Never Trust,Always Verify.”安全是在不加剧安全漏洞的情况下,您能否继续高效/安全地工作。安全的好坏取决于 最薄弱的环节。安全是对企业资源(计算机/人员)、所需专业知识、时间管理、实施成本、数据备份/恢复等的 风险管理安全是全天候的.持续不断的.永无止境的安全就是“在不对网络
2、、生产效率和预算造成负面影响的情况下,以最快的速度学习所有可以学习的知识。容易运行时安全威胁以下是对于运行容器工作负载的企业而言,可能带来重大风险的五种容器运行时安全威胁:1.未经授权的容器部署2.配置错误和不安全的配置3.带有恶意软件的容器镜像:当企业使用公共容器仓库时,这种风险尤为普遍。攻击者可以将恶意软件嵌入到容器镜像中,然后发布到公共仓库供企业使用.4.提权攻击:有多种提权攻击方法可以导致攻击者获得对容器或基础主机的完全访问权限。这些攻击通常开始于利用不安全的配置或现有的漏洞,以及对主机内存的攻击。5.未修补的漏洞上述威胁都可能会导致租户容器内的敏感数据遭到泄露。在云环境中运行容器时,
3、底层基础设施的安全性和云服务提供商的可信度变得至关重要。如果云服务提供商受到入侵或缺乏适当的安全措施,容器内的敏感数据(如凭据、加密密钥或个人身份信息)可能会被未经授权的人员访问或窃取。威胁分析服务数据容器运行时云资源攻击路径K8s容器攻击路径网络攻击不当配置不当配置非授权访问数据窃取漏洞利用应用漏洞内核漏洞特权利用漏洞利用不当配置漏洞利用缺乏网络隔离主机逃逸,内存攻击身份网络控制面内核&OS底层硬件端到端可信容器护航数据安全E2E Confidential Container for Data Privacy可信容器运行时可信数据存储可信软件供应链机密沙箱容器(Intel TDX New)租
4、户远程证明服务镜像服务存储服务金融风控医疗健康LLM/AIGCIoTKMS 密钥管理服务PCCS 证书服务PodPod机密虚拟机(Intel TDX New)PodPodNEW操作系统和RunD对TDX支持助力高价值应用和数据上云龙蜥操作系统和RunD对TDX支持 AnolisOS和Alinux3的官方软件源中都默认包含了TDX相关软件包。OpenAnolis Cloud Kenrel中完成了对TDX特性的支持。操作系统和内核 KVM模块和TDX module模块联动,为TDX机密容器的运行提供支持。KVM 支持TDX特性,使用TEE microvm作为容器POD的机密沙箱,对运行在TEE中的
5、组件做安全度量。容器镜像的机密性保护和完整性保护。通过sealed secret机制,实现对OSS等云存储资源的安全访问。RunD安全容器租户级的远程证明服务助力高价值应用和数据上云完整的远程证明框架远程证明架构ttRPC/gRPG endpointKBC selector&loadereaa_kbcoffline_fs_kbcoffline_sev_kbcCoCo-KBCHTTPSKBS API ClientAttester DriversTDX/SNP/Key Broker Service(KBS)Key Manage ProxyHTTPS KBS API ServerAttestatio
6、n Servicecoco-as-grpccoco-as-builtinamber-asSecret Data StoragePolicyEngineReference ValueProvider ServiceVerifier DriversTDX/SNP/CoCo KBSprotocolgRPC 验证完整的代码软件栈 验证不可信的输入 从远端服务获取证书和密钥 Attestation Agent Key Broker Service Attestation Service Plugin机制允许对接第三方KMS Plugin机制允许对接第三方远程证明服务不仅仅是硬件TEE的证明Attesta
7、tion AgentAttestation Service租户级的KBS/AS远程证明 高度的模块化和插件化Helm Chart云一键部署租户级KBS/AS服务实例。租户可深度定制的证明策略、灵活的秘密管理策略 兼容多种TEE平台的统一的软件实现RESTful APIs 服务前端 Attest Proxy 插件资源存储插件身份校验模块Attestation Service(AS)HTTPS策略引擎(OPA实现)TEE verifier 插件池租户身份凭证Attestation(返回令牌)设置Attestation策略租户TEE硬件厂商背书服务JSON payload交互需通过Owner Aut
8、h-Key认证身份CCATDXSNPSGX策略文件(Rego语法)参考值提供服务Get ResourceKey Broker Service(KBS)租户级远程证明服务部署机密计算服务 云原生的方式一键部署服务实例 helm install coco-kbshelm install coco-tdx-operator负载均衡TEE物理机节点池RuntimeClass:kata-dragonball-tdxkata-qemu-tdxTEE虚拟机机节点池RuntimeClass:runcACK机密容器安全特性助力高价值应用和数据上云容器运行时安全的演进Remove CSP from TCBFilt
9、er:Seccomp MAC CAPSNamespacesFilter:Seccomp MAC CAPSNamespacesHOST LINUX KERNELContainer AContainer BCPUMemoryNetworkStorageProcess AGUEST LINUX KERNAL AProcess BHardware VT-x/dGUEST LINUX KERNEL BHardware VT-x/dHOST LINUX KERNELNamespaceNamespaceVMVMContainer AContainer BProcess AGUEST LINUX KERNAL
10、 AProcess BHardware VT-x/d TDXGUEST LINUX KERNEL BHardware VT-x/dTDXHOST LINUX KERNELNamespaceNamespaceVMVMContainer AContainer B传统容器共享内核沙箱容器虚拟机级别的安全隔离和故障隔离,保护宿主机和云厂商机密容器硬件加密的客户机内存和硬件生成的客户机密钥,结合远程证明,保护了客户的数据和代码不能被宿主机和云厂商窥探Process AProcess B状态 广泛的业界支持 2022年3月成为CNCF沙箱项目 完整的安全特性 应用场景驱动 利用HWTEE保护应用/模型/数
11、据 基于远程证明构建信任 把基础设施服务新提供者排除在可信计算基(TCB)之外 提供安全上云的新范式设计原则 易用无需应用修改 容易部署和运维 非常容易和各种云服务集成 Pod级TCB,IT运维人员天然不可信 端到端零信任覆盖运行时/存储/网络/secrets 容器和K8S生态 聚焦应用 弹性 高密机密容器机密计算云原生机密容器零信任 端到端kubeletkata-agentimage-rsocicrypt-rsContainer 1Container 1Container 2TD-SHIM Container imageRW RootfsData volume Guest Kernel/Ro
12、otfsAttestation AgentKBC(Key/Evidence)K8SCSI DriverPodStorage(local disk/juicefs/OSS/cloud disk)containerdkata shimImage RegistryPodPodVMM(CLH/QEMU/Dragonball)DCAP LibDCAP QGSConfidential DataHubAgent API ValidatorOPAMetadataValidationimage verification&decryptionMeasuredBoot1RemoteAttestation2Secur
13、eMountApplicationAttestation6TrustedKMSCoCo KBSCoCoAS/AmberUntrustedHost(Kernel/KVM)345Remote Attestation端到端零信任的镜像数据服务助力高价值应用和数据上云容器运行时环境完整性保证确保App容器运行在可信运行时环境FirmwareTD-ShimEvidenceVMMLoadmeasureLoadmeasuremeasureverifyCoCo RuntimeCoCo RuntimeRemote Attestation ServiceInitramfsUserspace setupVMMFir
14、mwareFirmwareTDTD-ShimShimGuest Kernel Guest Kernel Integrity featureIntegrity feature(block/filesystem)InitramfsUserspacesetupBoot ImageBoot Image(attestation agent,confidential data hub)可度量的guest rootfs 利用dm-verity提供根文件系统的完整性 对启动和运行时性能影响小 基于远程证明容器元数据完整性验证确保App容器以期待的方式拉起1.环境变量2.mount points3.OCI AP
15、I远程证明OPA policy容器镜像完整性保证确保容器镜像在拉起的时候没有被修改或者替换通过镜像签名机制来实现 校验密钥从Key Broker Service获得 校验policy从Key Broker Service获得 支持多种校验方式:CoSign/sigstore,GPG keyCoCo Runtime容器镜像的机密性保证 容器在运行时对主机不可见 容器镜像在仓库里是加密的 容器镜像在硬件TEE里下载 容器镜像解密后拉起 兼容OCI image和distribution 按层加密,并且支持可选层加密 解密密钥在通过远程证明验证后发放安全的云上存储访问助力高价值应用和数据上云安全的使用
16、外部存储和存储相关的敏感信息以sealedSecret方式布署敏感信息在TEE环境中被解密,并且这个过程依赖于远程证明,而不依赖于外部存储的传统服务端加密服务安全挂载服务使用相关机密信息来挂载和解密外部存储Attestation ServiceTEE guestConfidential Data Hubread secretvolume addObject Storage Service(OSS)secure mount requestMount and decryptunseal secretRemoteattestationKey management service(KMS)decryp
17、tSealed secretCSI drivercontainerd-shim-kata-v2Kata agentSecure mount serviceSealed secret serviceAttestation Agent“更安全的使用你的专有大模型”New Future on Cloud基于机密容器构建可信AI应用 安全可信-实现可信AI模型推理和微调,保障模型数据的机密性与完整性。高性价比-基于Intel AMX指令集和 Intel PyTorch 扩展,32核可以实现秒级出图的推理能力 低损耗-加密计算 TDX 性能损耗控制在 3%以下。ACK 控制面对象存储(OSS)秘钥管理服
18、务(KMS)远程证明服务镜像服务(ACR)AI 推理PodAI 推理Pod加密私有 AI 模型加密私有应用镜像ECS 8代裸金属实例支持 Intel TDX、AMX等技术AIGC应用Building Trustworthy AI Applications Based on Confidential Containers机密计算节点池机密容器运行时(阿里云容器服务团队测试结果)使用BigDL LLM在ACK机密容器上部署推理和模型调优 BigDL LLM是Intel平台上的大语言模型加速库 全链路安全保护的分布式大语言模型推理 全链路安全保护的分布式大语言模型微调Ali OSSAli KMS“AI on ACK TDX Demo”New Future on CloudAIGC in secondsTHANKS