edgelesssys/contrast

 # 对比度 Contrast 可在 Kubernetes 上大规模运行机密容器部署。 Contrast 基于 [Kata Containers](https://github.com/kata-containers/kata-containers) 构建，并提供了机密容器概念的实现。 机密容器是在机密微虚拟机（micro-VM）中执行的 Kubernetes Pod，可提供强大的基于硬件的隔离，从而与周围环境隔离。 这适用于未经修改的容器，采用直接迁移（lift-and-shift）的方式。 ## 目标 Contrast 旨在保持所有数据始终加密，并防止来自基础设施层的访问。它将基础设施提供商从可信计算库（TCB）中移除。这包括防止数据中心员工、特权云管理员、内部集群管理员以及通过基础设施发起攻击的攻击者（例如，恶意提升权限的同租户）的访问。 Contrast 可无缝集成现有的 Kubernetes 工作流。它与托管 Kubernetes 兼容，可作为 Day-2 操作安装，并且仅对您的部署流程造成极小的更改。 ## 使用场景 * 增强容器的安全性 * 利用机密计算将敏感工作负载从本地迁移到云端 * 即使面对您自己的集群管理员，也能屏蔽代码和数据 * 提升 SaaS 产品的可信度 * 简化法规合规性 * 用于数据协作的多方计算 ## 功能特性 ### 🔒 一切始终加密 * 运行时加密：所有 Pod 均在机密虚拟机（CVM）中运行，受到使用中内存加密的保护。 * PKI 和 mTLS：所有 Pod 间的流量均可使用 Contrast 的工作负载证书进行加密和认证。 * 安全状态：支持用于 Pod 的加密和完整性保护的状态磁盘。 * 支持基于认证的解封（unsealing）加密密钥管理解决方案。 ### 🔍 一切均可验证 * Kubernetes Pod 级别的工作负载认证，包含容器镜像 * 多 Pod 部署的传递性认证 * 面向第三方审计员的可验证安全性 ### 🏝️ 一切相互隔离 * 运行时策略强制执行容器与 Kubernetes 层及基础设施之间的严格隔离。 * Pod 隔离：Pod 之间相互隔离。 ### 🧩 轻量且易于使用 * 可作为 Day-2 操作安装在 Kubernetes 集群中。 * 与托管 Kubernetes 兼容。 * 极少的 DevOps 投入。 * 简单的 CLI 工具即可上手。 * 可在同一集群的多个命名空间中独立部署。 ## 文档 如需了解更多信息，请参阅[文档](https://docs.edgeless.systems/contrast)。 ## 贡献 请参阅[贡献指南](CONTRIBUTING.md)。 请遵守[行为准则](CODE_OF_CONDUCT.md)。 ## 支持 * 如果遇到问题，请确保使用[最新版本](https://github.com/edgelesssys/contrast/releases/latest)并查看[已知问题](https://github.com/edgelesssys/contrast/issues?q=is%3Aissue%20state%3Aopen%20label%3Abug)。 * 请提交一个 [issue](https://github.com/edgelesssys/contrast/issues) 以获取帮助或报告错误。 * Edgeless Systems 为 Contrast 提供[企业级支持](https://www.edgeless.systems/products/contrast/)。

标签：CVM, DevSecOps, EVTX分析, EVTX分析, JSONLines, Kata Containers, mTLS, ProjectDiscovery, SaaS安全, StruQ, TEE, Web截图, 上游代理, 人工智能安全, 内存加密, 可信执行环境, 合规性, 多方安全计算, 子域名突变, 安全, 容器安全, 数据保护, 日志审计, 机密容器, 机密虚拟机, 机密计算, 硬件隔离, 超时处理, 隐私计算, 零信任