Inclavare Containers

一种面向机密计算场景的开源Enclave容器运行时技术栈和安全架构。

快速开始 GitHub

机密性

旨在帮助用户保护数据使用中的安全性、完整性和机密性

标准开放

技术栈全面开源共建、 保持社区中立、兼容社区以及兼容开源生态

云原生

打造可信业务应用二方产品上云的云原生机密计算通用底座

什么是Inclavare Containers?

Inclavare Containers是由阿里云和蚂蚁集团主导研发,并联合Intel等合作伙伴打造的业界首个面向机密计算场景的开源容器运行时。Inclavare Containers抹平了机密计算的高使用门槛,为用户的工作负载提供多种不同的 Enclave 形态,在安全和成本之间提供更多的选择和灵活性。

Inclavare Containers 解决了什么问题?

隔离特权软件 基于硬件强制实施的技术手段将租户的工作负载与CSP控制的特权软件隔离开来。
排除CSP 将Cloud Service Provider(CSP)从租户的TCB中排除出去。
远程证明 构建通用的远程证明基础设施,向用户证明运行在基于硬件辅助enclave技术的TEE中的工作负载是可信的。
降低使用门槛 降低机密计算的使用门槛,保持与使用普通容器相同的使用体感。

起源和历史

  • 顿悟



    2019.11.12

  • PoC
    实现rune原型


    2020.02

  • 项目开源
    发布0.1.0版本
    首先支持Occlum enclave runtime
    基于SGX 1硬件

    2020.05

  • 发布0.2.0版本
    开源了shim和runectl(后更名为sgx-tools)
    从host侧加载PAL
    PAL API更新为v2

    2020.06

  • 发布0.3.0版本
    支持创建机密计算K8s集群
    适配v33 SGX in-tree驱动
    提供RPM/DEB安装包

    2020.07

  • 发布0.4.0版本
    RA-TLS PoC
    Enclave Pooling Manager 框架
    提供Dragonwell 11 (LTS for OpenJDK 11) 参考镜像
    Skeleton enclave runtime

    2020.08

  • 发布0.4.1版本
    Stub enclave
    shim支持RA
    不再基于Occlum SDK容器进行bundle转换
    PAL API更新为v3 增强sgx-tools

    2020.09

  • 发布0.5.0版本
    实现基于RA-TLS的K8s级RA
    Enclave池化
    Bundle cache
    Graphene enclave runtime

    2020.10

  • 发布0.5.1版本
    初步支持 AWS Nitro Enclaves
    集成pouch
    skeleton支持空指针间接引用保护和enclave虚拟机
    优化了enclave 瞬态启动的性能

    2020.11

  • 发布0.5.2版本
    实现远程证明工具Shelter
    提供完整的CI / CD工作流程
    支持Occlum 0.18.1

    2020.12

  • 发布0.6.0版本
    在ra-tls中实现SGX DCAP(基于ECDSA的证明
    支持bundle cache level 2
    在sgx-tools中支持DCAP相关功能
    支持Occlum 0.19.0

    2021.02

  • 发布0.6.1版本
    实现实验性和演示性的远程证明基础架构EAA
    实现Enclave-TLS
    实现inclavared
    支持Occlum 0.21.0

    2021.05

当前状态

01
rune作为兼容OCI Runtime规范的enclave容器引擎已写入OCI Runtime实现列表中。
02
具备通过K8s和Docker运行Enclave容器的能力。
03
实现了基于Intel SGX技术的Enclave容器形态。
04
支持Occlum SGX Library OS。
05
面向社区发布了0.1.0到0.6.1十个binary release版本。
06
提供了基于Golang、Java开发的web服务器参考镜像。

应用场景