Inclavare Containers

一种面向机密计算场景的开源Enclave容器运行时技术栈和安全架构。

机密性

旨在帮助用户保护数据使用中的安全性、完整性和机密性

标准开放

技术栈全面开源共建、 保持社区中立、兼容社区以及兼容开源生态

云原生

打造可信业务应用二方产品上云的云原生机密计算通用底座

什么是Inclavare Containers?

Inclavare Containers是由阿里云和蚂蚁集团主导研发,并联合Intel等合作伙伴打造的业界首个面向机密计算场景的开源容器运行时。Inclavare Containers抹平了机密计算的高使用门槛,为用户的工作负载提供多种不同的 Enclave 形态,在安全和成本之间提供更多的选择和灵活性。

Inclavare Containers 解决了什么问题?

隔离特权软件 基于硬件强制实施的技术手段将租户的工作负载与CSP控制的特权软件隔离开来。
排除CSP 将Cloud Service Provider(CSP)从租户的TCB中排除出去。
远程证明 构建通用的远程证明基础设施,向用户证明运行在基于硬件辅助enclave技术的TEE中的工作负载是可信的。
降低使用门槛 降低机密计算的使用门槛,保持与使用普通容器相同的使用体感。

起源和历史

  • 顿悟



    2019.11.12

  • PoC
    实现rune原型


    2020.02

  • 项目开源
    发布0.1.0版本
    首先支持Occlum enclave runtime
    基于SGX 1硬件

    2020.05

  • 发布0.2.0版本
    开源了shim和runectl(后更名为sgx-tools)
    从host侧加载PAL
    PAL API更新为v2

    2020.06

  • 发布0.3.0版本
    支持创建机密计算K8s集群
    适配v33 SGX in-tree驱动
    提供RPM/DEB安装包

    2020.07

  • 发布0.4.0版本
    RA-TLS PoC
    Enclave Pooling Manager 框架
    提供Dragonwell 11 (LTS for OpenJDK 11) 参考镜像
    Skeleton enclave runtime

    2020.08

  • 发布0.4.1版本
    Stub enclave
    shim支持RA
    不再基于Occlum SDK容器进行bundle转换
    PAL API更新为v3 增强sgx-tools

    2020.09

  • 发布0.5.0版本
    实现基于RA-TLS的K8s级RA
    Enclave池化
    Bundle cache
    Graphene enclave runtime

    2020.10

当前状态

01
rune作为兼容OCI Runtime规范的enclave容器引擎已写入OCI Runtime实现列表中。
02
Inclavare Containers已加入到了OpenAnolis社区进行孵化。
03
具备通过K8s和Docker运行Enclave容器的能力。
04
实现了基于Intel SGX技术的Enclave容器形态。
05
支持Occlum SGX Library OS。
06
面向社区发布了0.1.0到0.4.1五个binary release版本。
07
提供了基于Golang、Java开发的web服务器参考镜像。

应用场景