基礎(chǔ)概念

為有強安全訴求的用戶提供了基于硬件加密技術(shù)的云原生一站式機密計算容器平臺 ，它可以幫助您保護數(shù)據(jù)使用（計算）過程中的安全性、完整性和機密性，同時簡化了可信或機密應(yīng)用的開發(fā)、交付和管理成本。機密計算可以讓您把重要的數(shù)據(jù)和代碼放在一個特殊的可信執(zhí)行加密環(huán)境（Trusted Execution Environment，TEE）中，而不會暴露給系統(tǒng)其他部分。其他應(yīng)用、BIOS、OS、Kernel、管理員、運維人員、云廠商、甚至除了CPU以外的其他硬件均無法訪問機密計算平臺數(shù)據(jù)，極大減少敏感數(shù)據(jù)的泄露風(fēng)險，為您提供了更好的控制、透明度和隱秘性。

核心功能

• 保護并驗證云端代碼和數(shù)據(jù)的完整性。

• 加密數(shù)據(jù)和代碼，避免在使用過程中被惡意窺探和竊取。

• 保障您對數(shù)據(jù)全生命周期的控制。

適用場景

• 區(qū)塊鏈

  增強事務(wù)處理、共識、智能合約以及密鑰存儲的隱私性和安全性。

• 密鑰管理

  把密鑰管理功能放在Enclave中，提供類似硬件安全模塊（HSM）的功能。

• 基因計算

  敏感數(shù)據(jù)，對敏感數(shù)據(jù)的多方計算提供了隱私隔離。

• 金融

  保護支付、交易的安全性。

• AI

  保護模型等核心機密數(shù)據(jù)，保護知識產(chǎn)權(quán)。

• 邊緣計算

  保護云、邊、端三位一體相互通信的安全以及隱秘性。

• 數(shù)據(jù)共享與計算

  不同用戶或廠商之間相互共享數(shù)據(jù)以便挖掘更大的數(shù)據(jù)經(jīng)濟價值，但不想把自己的數(shù)據(jù)泄露給對方。

產(chǎn)品方案

ACK已經(jīng)上線了基于Intel SGX2.0技術(shù)的加密計算托管集群，以便幫助您簡化可信或機密應(yīng)用的管理和交付成本。在公有云處理數(shù)據(jù)和代碼時，保護您數(shù)據(jù)和代碼的完整性和隱秘性，從可信計算基礎(chǔ)中擺脫云廠商的影響。有關(guān)如何在ACK上直接創(chuàng)建加密計算托管集群，請參見創(chuàng)建加密計算托管集群。

ACK-TEE機密計算和ACK安全沙箱配合工作的應(yīng)用場景

傳統(tǒng)OS（操作系統(tǒng)）容器攻擊模型

傳統(tǒng)OS容器（或稱為RunC容器）和宿主機共享Kernel，當內(nèi)核出現(xiàn)漏洞，容器中惡意應(yīng)用（如三方或您的應(yīng)用）會利用漏洞逃逸并滲透到后端系統(tǒng)，危害其他應(yīng)用和整個服務(wù)系統(tǒng)。

ACK安全沙箱隔離惡意應(yīng)用并阻斷攻擊

ACK安全沙箱容器是基于輕量虛擬機技術(shù)（Kangaroo）實現(xiàn)的強隔離。每個Pod都有自己獨立的OS和Kernel，這樣惡意應(yīng)用的攻擊面從宿主機級別縮小至Pod級別，從而保護其他應(yīng)用和后端系統(tǒng)。

ACK-TEE加密保護運行中的應(yīng)用

ACK-TEE是ACK基于Kubernetes提供的機密計算解決方案，用于保護您的敏感代碼和數(shù)據(jù)，如IP保護、密鑰保護、隱秘通信等。

云計算為您和企業(yè)提供了極大的便利，然而數(shù)據(jù)泄露成了上云過程中最大的擔(dān)憂之一。數(shù)據(jù)泄露可能來源：

• 黑客攻擊

• 云廠商的不可信任

• 云基礎(chǔ)設(shè)施安全缺陷

• 運維和管理人員

安全沙箱和ACK-TEE配合隔離惡意應(yīng)用并保護敏感應(yīng)用

ACK安全沙箱和ACK-TEE定位完全不同，它們之間可以相互配合，這樣在您的集群中，既可以隔離惡意應(yīng)用，又可以保護敏感的應(yīng)用和數(shù)據(jù)，做到真正的雙向保護。