GOTC2023eBPF與私密計(jì)算的生態(tài)結(jié)合

eBPF專場(chǎng)eBPF與私密計(jì)算的生態(tài)結(jié)合鄭振宇2022年05月28日機(jī)密計(jì)算是由機(jī)密計(jì)算聯(lián)盟(CCC)定義的一個(gè)行業(yè)術(shù)通過(guò)在基于硬件的受信任執(zhí)行環(huán)境(TEE)中執(zhí)行計(jì)算來(lái)將業(yè)務(wù)運(yùn)行在商業(yè)軟件、開(kāi)源軟件、或就地部署軟件上意味著信任軟件提供者業(yè)務(wù)最終會(huì)運(yùn)行在硬件上，意味著信任硬件提供者業(yè)務(wù)云基礎(chǔ)設(shè)施提供商，意味著信任云基礎(chǔ)設(shè)施提供者?與靜態(tài)數(shù)據(jù)加密和傳輸中數(shù)據(jù)加密一起使用時(shí)，機(jī)密計(jì)算可以在安全的公有云平臺(tái)中保護(hù)敏感或嚴(yán)格監(jiān)管的數(shù)據(jù)集和應(yīng)用程序工作負(fù)載，以此消除了加密的唯一最大難題-使用中數(shù)據(jù)的加密從而超越了常規(guī)數(shù)據(jù)保護(hù)?TEE還可用于保護(hù)專有業(yè)務(wù)邏輯、分析函數(shù)、機(jī)器學(xué)習(xí)算法或整個(gè)應(yīng)用程序?訪問(wèn)控制驗(yàn)證：對(duì)內(nèi)存區(qū)域的訪問(wèn)僅限于特定的進(jìn)程/上下文。?地址轉(zhuǎn)換：內(nèi)存的分段區(qū)域不能直接從TEE的邊界之外進(jìn)行尋址。?分頁(yè)控制：非TEE進(jìn)程不會(huì)與TEE數(shù)據(jù)同時(shí)在CPU中活動(dòng)。?內(nèi)存加密：對(duì)內(nèi)存中的數(shù)據(jù)進(jìn)行加密，防止黑客或惡意軟件竊取敏感信息各銀行之間不會(huì)互相訪問(wèn)數(shù)據(jù)。通過(guò)機(jī)密計(jì)算，這些金融機(jī)構(gòu)可以提高欺詐景，減少誤報(bào)，并持續(xù)從較大數(shù)據(jù)集中學(xué)習(xí)。聯(lián)邦學(xué)習(xí)：相互合作的醫(yī)療保健機(jī)構(gòu)提供專用醫(yī)療保用該模型并收到有用的結(jié)果?！癳BPF是一種跨平臺(tái)技術(shù)，可以運(yùn)行沙盒程序來(lái)擴(kuò)展特權(quán)系統(tǒng)組件”?在可信執(zhí)行環(huán)境（TEE）中的代碼是特權(quán)系統(tǒng)組件?設(shè)計(jì)時(shí)場(chǎng)景：設(shè)計(jì)一個(gè)擴(kuò)展程序，將其部署到現(xiàn)有的保密虛擬機(jī)/容器/進(jìn)程/庫(kù)中；?運(yùn)行時(shí)場(chǎng)景：根據(jù)管理員輸入即時(shí)創(chuàng)建一個(gè)擴(kuò)展程序，以在現(xiàn)有的保密虛擬機(jī)/容器/進(jìn)程/庫(kù)中運(yùn)行。?可能已經(jīng)存在于TEE中（例如，在TEE中的Linux虛擬機(jī)中）。?與WASM相比，可以在內(nèi)核模式下工作，支持更多語(yǔ)言類型（例如Rust）。?驗(yàn)證器提供了比許多其他方法更強(qiáng)的安全性和可靠性（例如，代碼在有限時(shí)間內(nèi)終止）。AttestedTrustedApp2communicationTAdeploymentprogrameBPFprogramdeploymentAttestedTrustedApp2communicationTAdeploymentprogrameBPFprogramdeploymentAppDataNormalappNormalappApp<otherprog>”App<otherprog>”“LoadRuntimeOtherhookOtherprogramLoad/attachhook(singleton)Gatekeeperprogram?對(duì)eBPF程序進(jìn)行簽名校驗(yàn)，僅允許授信程序執(zhí)行Manypotentialscenariosexist1.eBPF應(yīng)用部署證明:A.僅在可靠的TEE上部署可靠的eBPF應(yīng)用B.TEE僅接受來(lái)自可靠源的eBPF應(yīng)用2.eBPF擴(kuò)展實(shí)現(xiàn)可信通信:A.將數(shù)據(jù)或代碼部署到可信TEE(可被eBPF擴(kuò)展)B.僅接受來(lái)自可靠TEE的數(shù)據(jù)請(qǐng)求(可被eBPF擴(kuò)展)3.eBPF應(yīng)用通過(guò)API訪問(wèn):A.eBPF在數(shù)據(jù)流量中校驗(yàn)B.eBPF在API調(diào)用時(shí)校驗(yàn)C.使用eBPF程序作為校驗(yàn)工具內(nèi)核架構(gòu)優(yōu)化、用戶模式協(xié)議棧Gazelle和HCK解耦控制和計(jì)算架構(gòu)可實(shí)現(xiàn)最佳性能（提升5%至20%混合存儲(chǔ)加速套件HASK顯著提高了Ceph存儲(chǔ)的IOPS。引擎、容器OS、安全容器混合部署，夯實(shí)云原生基礎(chǔ)，資源利用率提升15%~40%A-OPS智能運(yùn)維，A-tune智能調(diào)優(yōu)效率倍級(jí)提升機(jī)密計(jì)算框架secGear：軟硬件協(xié)同打造1、服務(wù)層：提供完整的基于機(jī)密計(jì)算的安全服務(wù)，用戶直接使用相關(guān)服務(wù)，享受機(jī)密計(jì)算帶來(lái)的安全性。2、中間件層：提供常見(jiàn)的安全協(xié)議組件以及各種安全函數(shù)庫(kù)，用戶可以直接在安全及非安全側(cè)調(diào)用相關(guān)接口，不必從頭造輪子。3、基礎(chǔ)層：提供豐富的enclave開(kāi)發(fā)接口或工代碼生成工具和enclave聲明周期管理等接口，并且在安全側(cè)支持POSIXAPIs和標(biāo)準(zhǔn)OpenSSL接口，用戶基于這些接口可以自由開(kāi)發(fā)安全應(yīng)用程序。 提升5倍關(guān)鍵技術(shù)：將內(nèi)核能力、硬件加速能力服務(wù)化、集市化，惠及更多的社區(qū)用戶?eBPFruntime：負(fù)責(zé)提供具備可移植性管理等能力。?eBPFDevelopmentK