Red Hat gaat het nieuwe Confidential Containers (CoCo)-project van de Cloud Native Computing Foundation (CNCF) ondersteunen. Deze nieuwe technologie moet de security van containers in Kubernetes clusters gaan verbeteren.

Met het CoCo-project wil het CNCF de security van containers in Kubernetes clusters versterken. De technologie helpt bij het uitrollen van Kubernetes containers in zogenoemde ‘hardware enforced’ enclaves. Hierdoor hebben hosters geen toegang tot de informatie in deze containers.

Het project draait om het ondersteunen van containers in een zogenoemde Trusted Execution Environment (TEE). Dit is een technologie die de meeste processor-architecturen reeds bieden. Om containers in deze omgeving te kunnen draaien moet de communicatie tussen de TEE en de host machine worden beperkt. Dit kan niet met huidige containers, die eigenlijk niets anders zijn dan processen die direct op de host kernel draaien.

Kata Containers

Om dit probleem op te lossen hebben de ontwikkelaars goed naar vm’s gekeken. Het draaien van versleutelde vm’s is tegenwoordig redelijk eenvoudig, onder meer door ondersteuning van AMD SEV en SEV-ES, en het bestaande Intel SGX en nieuwere Intel TDX.

Het CoCo-project gebruikt een andere technologie voor het draaien van Kubernetes container workloads: Kata Containers. De door OpenStack ondersteunde technologie kwam voort uit een samenvoeging van Intel ClearContainers en Hyper runV.

Ondersteuning voor vijf TEE-technologieën

Uiteindelijk ondersteunt het CoCo-project hiermee vijf verschillende TEE-technologieën. De hierboven genoemde tools van AMD en Intel, plus twee tools van IBM: Protected Execution Facility (PEF) en Secure Execution for Linux (SE).

Wanneer deze TEE-technologieën succesvol blijken, zal op termijn ook ondersteuning voor Arm (TrustZone) en wellicht RISC-V worden toegevoegd. De configuratie kan zich tot op heden beperken tot het plaatsen van een vinkje op de Kubernetes config-pagina in een regel YAML-code.

Visie van Red Hat

Red Hat heeft nog niet kenbaar gemaakt waaruit zijn ondersteuning gaat bestaan. Volgens de hybrid cloud-leverancier wil het bedrijf altijd de noodzakelijke tooling bieden wanneer technische regelgevende omstandigheden veranderen. Confidential computing staat daarbij hoog in het vaandel en wordt door Red Hat als een game changer gezien.

Volgens de leverancier maakt Confidential Container-technologie zaken rondom Confidential Computing makkelijker. Op termijn is de integratie van deze ‘vertrouwelijke containers’ in Red Hat OpenShift belangrijk.

Inmiddels is de eerste versie van CoCo (v0.1.0) beschikbaar. Zoals het lage versienummer aangeeft is de technologie zeer nieuw en nog niet geschikt voor een directe uitrol.