A Red Hat está apoiando um projeto Cloud Native Computing Foundation (CNCF). O objetivo é melhorar a segurança de contêineres em clusters Kubernetes, executando-os em enclaves reforçados por hardware. Uma postagem no blog da empresa diz que a Red Hat está investindo em Confidential Containers, que é um projeto relativamente novo do Confidential Computing Consortium, apoiado pela CNCF. Portanto, a Red Hat apoia projeto CNCF.
Confidential Containers, ou “CoCo” para abreviar (o que deve irritar qualquer fã do antigo TRS-80 Color Computer), acaba de anunciar seu primeiro lançamento, a versão 0.1.0. O número de versão muito baixo deve ser um aviso: esta é uma nova tecnologia e definitivamente não está pronta para o horário nobre. Apropriadamente, sua documentação também não é muito abrangente.
A ideia é rodar containers dentro de um Trusted Execution Environment (TEE), um recurso oferecido pela maioria das arquiteturas de processadores já há alguns anos.
Red Hat apoia projeto CNCF
A parte difícil é que todo o objetivo de rodar dentro de um TEE é limitar a comunicação entre o TEE e a máquina host, e você não pode fazer isso facilmente com seu container usual: containers são apenas processos normais rodando diretamente sobre o host kernel, como nosso Brief History of Virtualization explicou antes que o Docker fosse um brilho nos olhos do dotCloud.
Por outro lado, executar uma máquina virtual criptografada hoje em dia é relativamente fácil, com suporte de hardware de várias empresas, incluindo o SEV da AMD, usado no Google Cloud , o SGX comparável da Intel e o TDX mais recente.
Então, para entregar cargas de trabalho executadas dentro de TEEs, mas gerenciadas pelo Kubernetes, o projeto CoCo usa outra tecnologia – Kata Containers – que surgiu da fusão Intel ClearContainers e Hyper runV , e é apoiado pela OpenStack Foundation.
Detalhes do que vem por aí.
De acordo com a visão geral da documentação do CoCo, inicialmente a ferramenta suporta cinco tecnologias TEE diferentes, as ferramentas AMD e Intel, além de duas tecnologias IBM diferentes: Protected Execution Facility (PEF), que é para servidores POWER, e Secure Execution, que é para z/ Arquitetura de mainframes.
Se a iniciativa for bem-sucedida, pode vir a suportar mais arquiteturas com o tempo – o Arm tem TrustZone e o RISC-V também tem sua própria versão, por exemplo.
Se você, como este abutre, vem do mundo terrivelmente antiquado da computação local, criptografar suas próprias máquinas virtuais pode parecer um pouco estranho inicialmente, mas faz sentido se você estiver executando essas VMs no hardware de outra pessoa, em algum lugar lá fora na internet.
O suporte de hardware para isso já existe há algum tempo, mas ainda não é uma coisa trivial de implementar, portanto, se com o tempo isso puder ser reduzido a uma caixa de seleção em uma página de configuração do K8s ou uma linha de YAML, isso será acolhido por muitos. O que, é claro, será bem recebido pelos fornecedores de silício, porque mesmo VMs muito leves ainda consomem mais recursos do que contêineres.