Engineer @Nord Security ## Agenda 1. Fan-in 2. Fan-out 3. Pipeline 4. Fan-in, Fan-out, Pipeline 5. Tee 🌱 ## Why learn these patterns?  ## Tee Pros - Efficient data distribution - Decoupling consumers Cons - No order guarantee Use cases - Logging and monitoring - Broadcasting ## Tee (Example) write ![Im

Invisible Shield on Kubernetes Secrets Kailun Qin, Ant Group ## Agenda • K8s Secrets: Overview • TEE-based K8s Secrets Protection: Solution • Production Experience @ Ant Group • Demo • Summary & Financial-grade security certificate/token rotation ## TEE-based Secrets Protection: Solution ## Confidential Computing ## A Trusted Execution Environment (TEE) is - a secure area protected by the processor APP APP OPERATING SYSTEM HARDWARE VIRTUAL MACHINE MANAGER Intel SGX AMD SEV Arm TZ Hacker ## TEE-based KMS Plugin $ ^{[1]} $ ## • Address performance & latency concerns • Reduce / minimize

b898b93415fea6d6/p25_1.jpg) ## 应用场景 应用场景 1：CVE 补丁快速修复。 应用场景2：现网问题临时定位。 # kunpengsecl 软件包支持平台和 TEE 远程证明 鲲鹏安全库（kunpengsecl）是开发运行在鲲鹏处理器上的基础安全软件组件，先期主要聚焦在远程证明等可信计算相关领域，使能社区安全开发者。 鲲鹏安全库的每个特性都可以由两大部分组 /f8bc882286c62dc9b898b93415fea6d6/p26_1.jpg) 鲲鹏安全库的远程证明特性目前支持： 1. 基于 TPM 的通用平台远程证明。 2. 对鲲鹏服务器 TEE 的远程证明。 详情请参见项目 readme：https://gitee.com/openeuler/kunpengsecl/blob/master/README.md ![Image](/up 与 RAS 间通信通道适配的能力。 ## 针对 TEE 远程证明 - TEE 证书服务 TAS（TEE AK Service）提供 TEE AK issuer 来使能用户部署自定义的证书服务为远程证明身份密钥颁发自定义证书。 - TEE 验证库（TEE verifier lib）以及验证示例 TEE Attester 为用户提供了获取 TEE 远程证明报告并进行验证的接口和工具。 - RAC

Embedded 的弹性虚拟化底座是为了在多核片上系统（SoC, System On Chip）上实现多个操作系统共同运行的一系列技术的集合，包含了裸金属、嵌入式虚拟化、轻量级容器、LibOS、可信执行环境（TEE）、异构部署等多种实现形态。不同的形态有各自的特点： 1. 裸金属：基于 openAMP 实现裸金属混合部署方案，支持外设分区管理，性能最好，但隔离性和灵活性较差。目前支持 UniProton/Zephyr/RT-Thread 大规模虚拟机管理：OpenStack 可以规划并管理大量虚拟机，从而允许企业或服务提供商按需提供计算资源。 # RISC-V 架构 Penglai TEE 支持 蓬莱 TEE 补丁为 RISC-V OpenEuler 操作系统提供了可信执行环境（TEE）的支持，利用 RISC-V 架构下的硬件安全机制（例如：Physical Memory Protection），使能高安全性要求的应用场景：如安全通信、密钥保护、代码鉴权等。 s/e/f/d/1/efd10a8e3f2aecb5e5a0df5e73f1daac/p38_2.jpg) 蓬莱 TEE 系统的主要组件包括开发工具 SDK、安全监控器（Secure monitor）、Enclave 实例以及 PMP 硬件扩展支持。安全监控器作为蓬莱 TEE 的核心，管理 Enclave 实例的生命周期和资源分配。Enclave 实例运行在用户态 (U-mode)，其内存受到

enclave. It provides a hardware-based trusted execution environment (TEE) for software that processes sensitive data. Content in the TEE is inaccessible to requests from common environments. Intel Software Software Guard Extensions (SGX) for x86 servers allocates some main memory to the TEE, encrypts the TEE memory, and decrypts the memory when the CPU loads the memory. In this case, sensitive data remains protected Provides POSIX-like interfaces for TEE application development to achieve consistent programming experience in the REE. • Supports data encryption and persistence in the TEE and supports local and remote attestation

可信账本：基于百度超级链和Mesatee技术，支持合约数据加密存储及链上密文运算等功能。 TEE：可信执行环境(TEE)是CPU的安全区域，它可以保护在其内部加载的代码和数据的机密性与完整性。 SGX：Software Guard Extensions(SGX)是Intel推出的基于Intel CPU的硬件安全机制。 Mesatee：Memory Safe TEE(Mesatee)是百度基于Intel SGX设计的内存安全的可信安全计算服务框架。 5d71797338487178/p37_1.jpg) TEESDK是与TEE服务请求的入口，将编译为动态链接库被超级链调用，实现链上的隐私计算。 可信账本目前支持数据加密存储、数据权限管理、秘钥托管和基本的密文计算功能，此部分代码暂未开源。 ## 重要接口和数据结构 ## TEESDK // 提交任务到TEE服务，返回计算结果 func (s *TEEClient) Submit(method Submit(method string, cipher string) (string, error) ## X uperchain // contractSDK // TEE隐私计算接口，供合约调用 bool binary_ops(const std::string op, const Operand &left_op, const Operand &right_op,

可信账本：基于百度超级链和Mesatee技术，支持合约数据加密存储及链上密文运算等功能。 TEE：可信执行环境(TEE)是CPU的安全区域，它可以保护在其内部加载的代码和数据的机密性与完整性。 SGX：Software Guard Extensions(SGX)是Intel推出的基于Intel CPU的硬件安全机制。 Mesatee：Memory Safe TEE(Mesatee)是百度基于Intel SGX设计的内存安全的可信安全计算服务框架。 2405ec87a9e528fd/p37_1.jpg) TEESDK是与TEE服务请求的入口，将编译为动态链接库被超级链调用，实现链上的隐私计算。 可信账本目前支持数据加密存储、数据权限管理、秘钥托管和基本的密文计算功能，此部分代码暂未开源。 ## 重要接口和数据结构 ## TEESDK // 提交任务到TEE服务，返回计算结果 func (s *TEEClient) Submit(method Submit(method string, cipher string) (string, error) ## X uperchain // contractSDK // TEE隐私计算接口，供合约调用 bool binary_ops(const std::string op, const Operand &left_op, const Operand &right_op,

可信账本：基于百度超级链和Mesatee技术，支持合约数据加密存储及链上密文运算等功能。 TEE：可信执行环境(TEE)是CPU的安全区域，它可以保护在其内部加载的代码和数据的机密性与完整性。 SGX：Software Guard Extensions(SGX)是Intel推出的基于Intel CPU的硬件安全机制。 Mesatee：Memory Safe TEE(Mesatee)是百度基于Intel SGX设计的内存安全的可信安全计算服务框架。 8efb1d3f6ba86052/p37_1.jpg) TEESDK是与TEE服务请求的入口，将编译为动态链接库被超级链调用，实现链上的隐私计算。 可信账本目前支持数据加密存储、数据权限管理、秘钥托管和基本的密文计算功能，此部分代码暂未开源。 ## 重要接口和数据结构 ## TEESDK // 提交任务到TEE服务，返回计算结果 func (s *TEEClient) Submit(method Submit(method string, cipher string) (string, error) ## X uperchain // contractSDK // TEE隐私计算接口，供合约调用 bool binary_ops(const std::string op, const Operand &left_op, const Operand &right_op,

rkLoad鉴权、WorkLoad间授权等）、DevSecOps（安全左右移等等，比如代码或者镜像扫描）、RASP应用安全、数据安全、态势感知与风险隔离 可信计算环境：OS安全、TPM加密、TEE可信环境 硬件与虚拟化厂商提供，如果是HCI架构，作为总体集成方，会降低安全集成成本 ![Image](/uploads/documents/a/1/0/a/a10a36a4c01a42e0c11dece9f73ed275/p2_1 |加密技术|数据的安全生命周期返程三种不同状态：存储中、传输中、使用中，但是对第三种场景，一直以来缺少保护手段。通过加密技术建立的可信运行环境TEE（比如IntelSGX，蚂蚁的KubeTEE等）可以保护运行中的数据和代码，完成了安全闭环。|依赖于硬件和更高阶密码学，可以彻底阻断物理设备以及软件的攻击，是高级的安全保障技术。TEE是运行态主动防护的高级手段，对高安全生产环境建议使用。|成本较高，所以要视业务场景要求取舍。| |Mesh 不可见”的能力。 可信执行环境（TEE）采用Intel SGX技术实现的密文数据上的计算操作，TEE中的内存是受保护的，用户查询语句在客户端应用加密后发送给云数据库，云数据库执行检索操作时进入TEE环境，拿到的结果是密文状态，然后返回给客户端，数据面从传输、计算到存储全链条都是处于加密的，只有可信执行环境内才进行明文计算。 • SSL+TDE+TEE=E2E云原生数据库安全方案。 ##

## 编译后生成的wast代码 1 (func (;2;)(type 1)(result i32)) 2 (local i32 i32) 3 call 1 4 local.tee 0 5 call 1 6 local.tee 1 7 i32.lt_s 8 if ;; label = @1 9 local.get 0 10 i32.const 1 11 i32.add 12 call 0 13 end 可信账本：基于百度超级链和Mesatee技术，支持合约数据加密存储及链上密文运算等功能。 TEE：可信执行环境(TEE)是CPU的安全区域，它可以保护在其内部加载的代码和数据的机密性与完整性。 SGX：Software Guard Extensions(SGX)是Intel推出的基于Intel CPU的硬件安全机制。 Mesatee : Memory Safe TEE(Mesatee)是百度基于Intel SGX设计的内存安全的可信安全计算服务框架。 2cc0a/p126_1.jpg) TEESDK是与TEE服务请求的入口，将编译为动态链接库被超级链调用，实现链上的隐私计算。 可信账本目前支持数据加密存储、数据权限管理、秘钥托管和基本的密文计算功能，此部分代码暂未开源。 #### 19.4. 重要接口和数据结构 ##### 19.4.1. TEESDK // 提交任务到TEE服务，返回计算结果 func (s *TEEClient)