Kata Containers: Confidential Computing

Hasta el día de hoy solo existen mecanismos para proteger al host (servidor) de procesos malintencionados que buscan tomar el control del sistema, uno de estos mecanismos son los containers que a través del aislamiento procesos (namespaces) y restringir el acceso a los recursos del sistema (cgroups) puede proteger al host de posibles atacantes, pero ¿qué pasa cuando el host ha sido comprometido y deja de ser de confianza?, ¿existen mecanismos para proteger los containers del host y sus atacantes?. Kata Containers es un proyecto que promete solucionar dicho problema a través del uso de computación confidencial (confidential computing) con la cual se puede encriptar la memoria de un Kata Container y comprobar su integridad en cualquier momento.

En esta presentación me gustaría dar una introducción a Kata Containers y como pretendemos aislar containers del host a través de confidential computing.