SECURING SENSITIVE DATA IN A CONTAINER MANAGEMENT SYSTEM

SECURING SENSITIVE DATA IN A CONTAINER MANAGEMENT SYSTEM

An approach is provided for securing a secret for usage by an application utilizing a client to retrieve secrets. A request is sent from a client in a workload container within a trusted execution environment (TEE) to retrieve an encrypted secret from an application programming interface (API) serve...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Hauptverfasser: WANG, Yuan Yuan, HUO, Qi Feng, LIU, Yan Song, LIU, Da Li, LI, Lei
Format: Patent
Sprache:eng ; fre
Schlagworte:
CALCULATING
COMPUTING
COUNTING
ELECTRIC DIGITAL DATA PROCESSING
PHYSICS
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:An approach is provided for securing a secret for usage by an application utilizing a client to retrieve secrets. A request is sent from a client in a workload container within a trusted execution environment (TEE) to retrieve an encrypted secret from an application programming interface (API) server outside the TEE. The request is hooked and sent to the API server by a proxy or a secret proxy plugin within the TEE. The secret is received from the API server by the proxy or secret proxy plugin. An agent within the TEE is called to request a private key. The agent obtains the private key. The secret is decrypted by using the private key. The decrypted secret is returned to the client by the proxy or secret proxy plugin, which ensures that a plain text version of sensitive information in the decrypted secret is not accessible outside the TEE. L'invention concerne une approche permettant de sécuriser un secret destiné à être utilisé par une application utilisant un client pour récupérer des secrets. Une demande est envoyée par un client dans un conteneur de charge de travail au sein d'un environnement d'exécution de confiance (TEE) afin de récupérer un secret chiffré à partir d'un serveur d'interface de programmation d'application (API) en dehors du TEE. La demande est accrochée et envoyée au serveur API par un mandataire ou un plugin mandataire secret dans le TEE. Le secret est reçu du serveur API par le mandataire ou le plugin mandataire secret. Un agent au sein du TEE est appelé pour demander une clé privée. L'agent obtient la clé privée. Le secret est déchiffré à l'aide de la clé privée. Le secret déchiffré est renvoyé au client par le mandataire ou le plugin mandataire secret, ce qui garantit qu'une version en texte clair des informations sensibles contenues dans le secret déchiffré n'est pas accessible en dehors du TEE.