Google開源用於機密運算的框架Asylo,Google稱Asylo為一種全新的開發框架,讓企業能更容易的在機密運算環境中,維護應用程式以及資料的機密性以及完整性。

Google提到,保護資料是在雲端架構執行工作負載時的首要工作,儘管雲端架構有不少安全控制措施,但或許部分企業仍希望對極敏感的工作提供額外的驗證隔離,而這些功能被稱為機密運算。

Asylo是希臘語安全之地的意思,該框架提供在可信執行環境(Trusted Execution Environments,TEEs)中執行的應用程式開發框架和SDK。Asylo能用於加密敏感通訊的服務,以及在內飛地(Enclave)驗證執行程式碼的完整性,藉以保護資料以及應用程式

Google表示,TEEs可以幫助防禦目標為堆疊底層的攻擊,包含作業系統、Hypervisor、驅動程式以及硬體。另外,還能減輕內部惡意人員或是未經授權的第三方洩漏資料的風險。在過去,於TEEs開發以及營運應用程式,需要有專業的知識和工具,現在透過Asylo就能在特定的硬體環境實現,而且無論是在企業本地端還是在雲端都不是問題。

Asylo讓開發者建置具可移植性的應用程式,能被輕易部署到不同的軟體以及硬體後端。在Asylo中,Google透過Google Container Registry提供Docker映像檔,其已經包括執行容器所需要的所有相依關係,這種靈活性將讓開發者完全發揮TEEs支援各式硬體的優點,而且不需要額外修改程式碼。

Google表示,他們正在研究AMD安全加密虛擬化(SEV)技術,還有英特爾軟體防護擴展技術等硬體後端技術,以進一步提供重新建置即執行的可移植性。Asylo也將在0.2版本提供SDK以及工具,讓開發者開發可移植內飛地應用程式(Portable Enclave Application)。而未來也將讓開發者能在內飛地執行既有的應用程式,Google說明,其操作方法很簡單,把應用程式複製進Asylo的容器中,指定後端後重新建置並執行就可以了。


Advertisement

更多 iThome相關內容