Wh1isper
commented
6 months ago 安全容器可以看作是基于硬件虚拟化的容器技术,只要符合CNI、OCI规范,就可以在K8S中运行,我在文档中提供了Kata Container的配置和使用方式
对于任何想把此工程封装为产品提供的人,我建议可以使用结合安全容器(Kata container)和容器签名等方案,在安全容器中执行ebpf代码,不会监听任何宿主机的信息,也更难以从安全容器中逃逸,而容器签名方案可以保证安全容器不被篡改。
Description
您好, 个人理解这个项目主要是解决了数据提供方对提供数据给用数方之后, 用数方可能存在对数据滥用和泄露的问题, 从方案上看应该是可行的. 但是使用这种技术, 对用数方的环境是否有很大的侵入, 怎么解决用数方对部署该系统的安全担忧? 一方面, 如果该系统完全开源, 由用数方自行部署, 怎么确定用数方不会擅自修改代码改变了逻辑? 另一方面, 如果系统是个黑盒, 用数方怎样信任部署该系统? 因为该系统能够监听所有流量, 实际上拥有了很高级别的权限, 用数方怎样信任该系统不会盗取用数方的数据成为数据提供方的特洛伊木马? 因为数据交易流通场景下, 更多的是相互共享数据的诉求, 而不是单方向的提供数据.
What I Did