論文の概要: TEEMATE: Fast and Efficient Confidential Container using Shared Enclave
- arxiv url: http://arxiv.org/abs/2411.11423v1
- Date: Mon, 18 Nov 2024 09:50:20 GMT
- ステータス: 翻訳完了
- システム内更新日: 2024-11-19 14:31:46.765048
- Title: TEEMATE: Fast and Efficient Confidential Container using Shared Enclave
- Title(参考訳): TEEMATE: Shared Enclaveを使用した高速で効率的な信頼性コンテナ
- Authors: Chulmin Lee, Jaewon Hur, Sangho Lee, Byoungyoung Lee,
- Abstract要約: ホストシステム上でエンクレーブを利用する新しいアプローチであるTeeMateを紹介した。
我々は、TeeMateが従来の機密コンテナ上に構築されたアプリケーションに比べて、少なくとも4.5倍のレイテンシと2.8倍のメモリ使用率を達成することを示す。
- 参考スコア(独自算出の注目度): 17.032423912089854
- License:
- Abstract: Confidential container is becoming increasingly popular as it meets both needs for efficient resource management by cloud providers, and data protection by cloud users. Specifically, confidential containers integrate the container and the enclave, aiming to inherit the design-wise advantages of both (i.e., resource management and data protection). However, current confidential containers suffer from large performance overheads caused by i) a larger startup latency due to the enclave creation, and ii) a larger memory footprint due to the non-shareable characteristics of enclave memory. This paper explores a design conundrum of confidential container, examining why the confidential containers impose such large performance overheads. Surprisingly, we found there is a universal misconception that an enclave can only be used by a single (containerized) process that created it. However, an enclave can be shared across multiple processes, because an enclave is merely a set of physical resources while the process is an abstraction constructed by the host kernel. To this end, we introduce TeeMate, a new approach to utilize the enclaves on the host system. Especially, TeeMate designs the primitives to i) share the enclave memory between processes, thus preserving memory abstraction, and ii) assign the threads in enclave between processes, thus preserving thread abstraction. We concretized TeeMate on Intel SGX, and implemented confidential serverless computing and confidential database on top of TeeMate based confidential containers. The evaluation clearly demonstrated the strong practical impact of TeeMate by achieving at least 4.5 times lower latency and 2.8 times lower memory usage compared to the applications built on the conventional confidential containers.
- Abstract(参考訳): クラウドプロバイダによる効率的なリソース管理と、クラウドユーザによるデータ保護の両方のニーズを満たすため、信頼性コンテナはますます人気が高まっている。
具体的には、機密コンテナがコンテナとエンクレーブを統合し、設計上の優位性(リソース管理とデータ保護)を継承することを目指している。
しかし、現在の機密コンテナは、パフォーマンス上のオーバーヘッドが大きい。
一 エンクレーブ発生による起動遅延が大きいこと。
二 メモリの共有不能な特性によりメモリフットプリントが大きくなること。
本稿では,機密コンテナがこれほど大きな性能上のオーバーヘッドを負う理由を考察し,機密コンテナの設計上の問題点について考察する。
驚いたことに、エンクレーブはそれを作った単一の(コンテナ化された)プロセスでしか使えないという普遍的な誤解がある。
しかし、エンクレーブは単なる物理リソースの集合であり、プロセスはホストカーネルによって構築された抽象化であるため、複数のプロセス間で共有することができる。
この目的のために,ホストシステム上でエンクレーブを利用する新しいアプローチであるTeeMateを紹介した。
特にTeeMateはプリミティブを設計する。
一 プロセス間でエンクレーブメモリを共有して、メモリ抽象化を保ち、
i) スレッドをプロセス間のエンクレーブに割り当て、スレッド抽象化を保存する。
我々は、TeeMateをIntel SGX上で強化し、TeeMateベースの機密コンテナ上に、シークレットサーバレスコンピューティングとシークレットデータベースを実装しました。
この評価は、従来の機密コンテナ上に構築されたアプリケーションと比較して、少なくとも4.5倍のレイテンシと2.8倍のメモリ使用量を達成することで、TeeMateの強力な実用的影響を明らかにした。
関連論文リスト
- BitStack: Fine-Grained Size Control for Compressed Large Language Models in Variable Memory Environments [53.71158537264695]
大規模言語モデル(LLM)は、多くのアプリケーションに革命をもたらしたが、ローカルデバイスにおけるメモリ制限により、その展開は依然として困難である。
textbfBitStackは,メモリ使用量とモデル性能のトレードオフを可能にする,新しいトレーニング不要な重み圧縮手法である。
論文 参考訳(メタデータ) (2024-10-31T13:26:11Z) - TME-Box: Scalable In-Process Isolation through Intel TME-MK Memory Encryption [11.543384661361232]
クラウドコンピューティングは、単一のプロセス内でワークロードを実行することでパフォーマンスを最適化するために、プロセス内分離に依存している。
既存のプロセス内分離メカニズムは、現代的なクラウド要件には適していない。
本稿では,コモディティx86マシン上で細粒度でスケーラブルなサンドボックスを実現する,新しい分離技術であるTME-Boxを提案する。
論文 参考訳(メタデータ) (2024-07-15T14:09:00Z) - Enabling Performant and Secure EDA as a Service in Public Clouds Using Confidential Containers [1.1127784392971594]
パブリッククラウドの破裂に対するセキュリティ上の懸念は、プロセス設計キット、サードパーティの知的財産権、半導体デバイスやチップの新たな設計データを保護することにある。
パブリッククラウドのバーストに対するセキュリティ上の問題に対処するひとつの方法は、EDAワークロードの機密コンテナを活用することだ。
完全なエンドツーエンドのコンテナベースのEDAワークロードは、それぞれ、ベアメタルコンテナとVMベースのソリューションに対する7.13%と2.05%のパフォーマンスオーバーヘッドを示す。
論文 参考訳(メタデータ) (2024-07-08T15:36:30Z) - Exploiting Kubernetes' Image Pull Implementation to Deny Node Availability [0.0]
アプリケーションプログラミングインタフェース(API)とK8のランタイムインターフェース間のインタラクションは、十分に研究されていない。
CRI-APIはコンテナランタイムを抽象化し、各イメージのダウンロードとともにコンテナの生成とライフサイクルを管理する。
このような攻撃は、最大95%の平均CPU使用量を生成し、新しいコンテナイメージのダウンロードを防止し、潜在的に無制限な時間でI/Oおよびネットワーク使用量を増やすことができることを示す。
論文 参考訳(メタデータ) (2024-01-19T09:49:53Z) - HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。
低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。
私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
論文 参考訳(メタデータ) (2024-01-17T00:56:23Z) - Managing Large Enclaves in a Data Center [2.708829957859632]
ほぼゼロのダウンタイムでセキュアなエンクレーブマイグレーションを実現する新しい手法であるOpsMigを提案する。
我々の最適化は、マルチGBメモリフットプリントを持つIntel SGXアプリケーションスイートの総ダウンタイムを77-96%削減する。
論文 参考訳(メタデータ) (2023-11-13T00:08:37Z) - Capacity: Cryptographically-Enforced In-Process Capabilities for Modern ARM Architectures (Extended Version) [1.2687030176231846]
Capacityは、機能ベースのセキュリティ原則を取り入れた、ハードウェア支援のプロセス内アクセス制御設計である。
独自のPAキーで認証されたプロセス内ドメインにより、Capacityはファイル記述子とメモリポインタを暗号化された参照に変換する。
Capacity対応のNGINX Webサーバプロトタイプや他の、機密性の高いリソースをさまざまなドメインに分離する一般的なアプリケーションを評価します。
論文 参考訳(メタデータ) (2023-09-20T08:57:02Z) - ByzSecAgg: A Byzantine-Resistant Secure Aggregation Scheme for Federated
Learning Based on Coded Computing and Vector Commitment [90.60126724503662]
ByzSecAggは、フェデレートラーニングのための効率的なセキュアアグリゲーションスキームである。
ByzSecAggは、ビザンツの攻撃やプライバシーの漏洩から保護されている。
論文 参考訳(メタデータ) (2023-02-20T11:15:18Z) - Opacus: User-Friendly Differential Privacy Library in PyTorch [54.8720687562153]
私たちは、差分プライバシーでディープラーニングモデルをトレーニングするための、オープンソースのPyTorchライブラリであるOpacusを紹介します。
シンプルでユーザフレンドリなAPIを提供しており、コードに最大2行を追加することで、マシンラーニングの実践者がトレーニングパイプラインをプライベートにすることができる。
論文 参考訳(メタデータ) (2021-09-25T07:10:54Z) - Kanerva++: extending The Kanerva Machine with differentiable, locally
block allocated latent memory [75.65949969000596]
エピソディックメモリとセマンティックメモリは、人間のメモリモデルの重要なコンポーネントです。
我々は、エピソードメモリとセマンティックメモリのギャップを埋める新しい原理ベイズメモリ割り当てスキームを開発しました。
この割り当て方式がメモリ条件画像生成の性能を向上させることを実証する。
論文 参考訳(メタデータ) (2021-02-20T18:40:40Z) - Privacy-Preserving Image Features via Adversarial Affine Subspace
Embeddings [72.68801373979943]
多くのコンピュータビジョンシステムでは、ユーザーは画像処理とストレージのためにイメージ機能をクラウドにアップロードする必要がある。
本稿では,新しいプライバシー保護機能表現を提案する。
従来の特徴と比較すると,敵が個人情報を回収するのは極めて困難である。
論文 参考訳(メタデータ) (2020-06-11T17:29:48Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。