KubeTEE 是一个云原生大规模集群化机密计算框架,旨在解决在云原生环境中 TEE 可信执行环境技术特有的从开发、部署到运维整体流程中的相关问题。
KubeTEE 是云原生场景下如何使用 TEE 技术的一套整体解决方案,包括多个框架、工具和微服务的集合。顾名思义,KubeTEE 基于 docker 容器、Kubernetes 编排和其他云原生技术。其目标是帮助开发人员实现基于 TEE 的应用程序,并更轻松、顺畅地部署 TEE 服务。
架构图:
KubeTEE 当前主要基于 Intel (R) SGX。SGX 是 Intel 提供的基于 CPU 的硬件安全技术。它使用加密的内存来保护运行时代码和数据免于被盗和恶意篡改。
目前,KubeTEE已经开源的组件包括:
- sgx-device-plugin:sgx 容器插件,让容器支持 sgx 特性,由蚂蚁与阿里云团队共同开发;
- trusted-function-framework:TFF 可信应用开发框架,简化可信函数实现过程,屏蔽 SGX 相关细节;
- enclave-configuration-service:AECS,基于远程认证的 enclave 配置服务;
- protobuf-sgx:经修改以支持 Enclave 内部使用的 protobuf 协议。