Google推出“Asylo”机密计算框架

谷歌本周宣布发布开源框架和软件开发工具包（SDK），使开发人员能够构建针对可信执行环境的应用程序。

这个新框架被称为Asylo （希腊语是“安全的地方”），应该可以更容易地保护隔离的机密计算环境中的应用程序和数据的机密性和完整性。

在防御针对栈的底层攻击目标（操作系统，虚拟机管理程序，驱动程序和固件），可信执行环境（核糖核酸TEE）提供所谓的“飞地”专用的执行环境，并可以减轻损害的风险由未经授权的第三方。

Google最新发布的Asylo框架“包括加密敏感通信和验证在飞地运行的代码的完整性的功能和服务，这有助于保护数据和应用程序，”Google 说。

到目前为止，在TEE中创建和运行应用程序需要专门的知识和工具，并且实现已经绑定到特定的硬件环境。借助Asylo，开发人员社区可以更广泛地访问TEE，从而允许创建面向各种本地和云硬件的应用程序。

借助Asylo框架，开发人员可以轻松构建应用程序并使其可移植，从而确保它们可以部署在各种软件和硬件后端。Google还通过Google Container Registry提供Docker镜像，提供在任何地方运行容器所需的所有依赖关系。

由于这种灵活性的提高，开发人员可以利用TEE支持的硬件体系结构，而无需修改其源代码。开发人员可以跨越不同的飞地后端（笔记本电脑，工作站，本地服务器中的虚拟机或云中的实例）快速移植应用程序。

“我们正在探索基于AMD安全加密虚拟化（SEV）技术，英特尔软件防护扩展（Intel SGX）和其他业界领先的硬件技术的未来后端，这些技术可以支持相同的重建和运行可移植性，”Google说。

Asylo还提供更多易用性，使应用程序能够利用TEE的安全属性，而无需开发人员学习全新的编程模型。

最重要的是，这个框架是开源的，这意味着它可以为每个人提供机密计算技术。

现在提供SDK和工具来帮助开发人员构建便携式飞地应用程序，Asylo很快也将允许他们在飞地中运行现有的应用程序。为此，开发人员只需将应用程序复制到Asylo容器中，指定后端并重建它们即可。

要开始使用Asylo，开发人员只需从Google Container Registry下载源代码和预先构建的容器图像。该容器包含开发人员可以分析以开始构建其代码的样本。快速入门指南和文档也已发布。Asylo也可以在GitHub上找到。