随着公有云的推广，云上的安全问题也越来越受到关注。在云上运行的应用，尤其是一些数据敏感的应用，对数据在计算过程中的机密性也越发重视。磁盘和网络的数据加密有较多的方案来处理，计算的机密性则强依赖硬件提供的安全能力。两大CPU厂商，Intel和AMD，都提供了一些硬件安全技术，如Intel的SGX和TDX，AMD的SEV等来解决此类问题。 本文将基于Intel TDX技术，来分析Confidential Contianers（简称CoCo）项目的安全性。CoCo项目是一个开源项目，它基于流行的Kata Containers项目做了增强，在其上增加了机密计算能力，安全性从单向保护（防止基础设施受到上层workload侵害），扩展到了双向保 …

Read More

CVE-2019-5736是一个比较知名的runc漏洞，利用方式简单，危害很大，经常被拿来做云原生安全的攻击/防御演示。 我最近也研究了下这个漏洞的使用，研究的第一步首先是复现。 尝试了github上的示例： https://github.com/Frichetten/CVE-2019-5736-PoC ， 这里对源码做了一些修改，在下面分享一下。 注意：ubuntu上安装的docker 18.06似乎已经打上了补丁，我手动编译了runc的1.0.0-rc5版本才成功复现。 复现方式： 在一个terminal里面： …

Read More

1. TUF 1.1 背景 TUF是Tor项目设计出的一套安全分发软件更新的框架，Notary是TUF框架的go语言实现，而Docker Content Trust是TUF框架的应用。理清三者关系有助于后续理解。 1.2 TUF的角色 TUF框架包含五类角色，对应五把密钥，分别是Root, Target, Snapshot, Timestamp, Delegated target(可选)，每个角色对应一个元数据文件及一把密钥。 TUF角色和密钥的理解与Notary介绍有重合，可以参考 "2.3 Notary的密钥管理" 1.2 TUF的工作流 TUF框架的定义在这 …

Read More

最近在51cto举办的meetup上做了关于Kata Containers的演讲， KataContainers是github上的新项目，前身是Intel的clear container和Hyper的runv， 融合了普通容器的轻快和虚拟机的高隔离高安全性的优点。 详细可以直接参观Kata Containers的github主页： https://github.com/kata-containers/runtime 演讲的链接传送门：http://developer.huawei.com/ict/forum/thread-48823.html 完整的演讲ppt可以在此处下载： Kata介绍与Huawei_iSula安全容器-张 …

Read More