機密計算時代或將很快到來

發(fā)布時間： 2022-05-30 19:01

機密計算并不是什么新概念，早在2020年，研究機構Gartner就在其年度云安全技術成熟度曲線中，將機密計算列為33種關鍵安全技術之一。但是Gartner曾經認為，機密計算需要較長時間的理論研究與研發(fā)準備，距離成熟的商業(yè)市場應用，還需要5到10年的時間。

不過由于行業(yè)對數(shù)據安全在使用過程中的保護需求快速增長，機密計算的應用步伐有望大大加快。有研究機構預測，機密計算技術在未來1~2年內就會成為安全計算的標準方法，尤其是在云計算環(huán)境中。

數(shù)據保護技術的變革

眾所周知，數(shù)據只有被更多使用，才能發(fā)揮出更大的價值。但現(xiàn)有的數(shù)據防護技術，更多是針對數(shù)據靜態(tài)存儲和傳輸時的防護，對使用中的數(shù)據卻難以進行有效的保護，因為應用系統(tǒng)需要明文數(shù)據(未經加密或其他方式保護的數(shù)據)才能進行計算，這意味著惡意軟件可以在系統(tǒng)內存中對機密數(shù)據進行竊取。

使用過程中的數(shù)據所面臨的威脅并非只在理論上存在。以美國零售商塔吉特（Target）為例，該公司就曾遭到內存截取惡意軟件的攻擊，該惡意軟件在數(shù)據處理時從POS系統(tǒng)的內存中竊取信用卡信息，整個過程如同刷卡操作一樣簡單。

機密計算的另一個應用需求是云計算環(huán)境中的數(shù)據隱私保護。經過十多年的發(fā)展，云計算服務已經非常普遍，但很多企業(yè)的管理者對于將隱私業(yè)務數(shù)據交給第三方云服務提供商的系統(tǒng)來保管依然不放心。數(shù)據隱私性和機密性仍是當前主要的云安全問題。

云上業(yè)務系統(tǒng)面臨的一個嚴重數(shù)據安全隱患在于，要想充分利用分析、索引、協(xié)作工具以及內容共享等云服務，就需要對數(shù)據進行解密以便處理。但是這種解密恰恰違背了數(shù)據安全防護的基本原則：始終保護敏感數(shù)據資產免受未經授權的任何人的訪問。

應用價值不斷增長

機密計算是一種技術上的根本性變化，它可以保證敏感數(shù)據在內存中處理時也處于加密狀態(tài)，而不是以明文的方式使用。機密計算在基于硬件的可信執(zhí)行環(huán)境（TEE）中執(zhí)行計算，從而保護使用中數(shù)據。這項技術的原理是，在處理過程中將敏感數(shù)據隔離在安全的CPU內存空間（enclave）中，以便云供應商或其他任何第三方看不到這些數(shù)據。通過在硬件最低層提供安全，機密計算可以確保數(shù)據機密性、數(shù)據完整性和代碼完整性。這些技術特性意味著企業(yè)中的敏感數(shù)據在使用過程中可以最大程度的不再暴露在其他應用程序、虛擬機管理程序、操作系統(tǒng)或云服務提供商的面前。

企業(yè)有望從機密計算獲得的價值主要包括：

更有力地保護知識產權和敏感數(shù)據

機密計算加強了保護組織最敏感數(shù)據資產的力度。知識產權、商業(yè)機密、合同和個人消費者/用戶數(shù)據在處理過程中都受到了保護，防范未經授權的訪問。這種加強保護敏感數(shù)據的做法可以帶來企業(yè)聲譽和競爭力方面的優(yōu)勢。

改善數(shù)據監(jiān)管合規(guī)

越來越多的數(shù)據隱私法規(guī)致力于在敏感數(shù)據泄露后保護消費者，如果企業(yè)想避免數(shù)據泄露，有必要兼顧以上這三種數(shù)據狀態(tài)的所有潛在攻擊面，而不是只關注靜態(tài)數(shù)據或傳輸中數(shù)據。機密計算能夠幫助企業(yè)改善合規(guī)工作，尤其在使用云計算基礎設施時。

充分利用云功能

一些企業(yè)為了優(yōu)先考慮安全性，限制了對云服務的更多使用，因為這些云應用程序需要加密才能正常運行。機密計算在云端提供了所需級別的數(shù)據機密性，同時讓組織仍可以充分利用云功能，比如大數(shù)據處理、高級分析或運行云原生應用程序等。

更好地協(xié)作創(chuàng)新

數(shù)據孤島常成為通過相互協(xié)作的多方計算進行創(chuàng)新的障礙。分布式云計算能力促進了多個企業(yè)組織之間數(shù)據共享和分析，但企業(yè)組織在對敏感信息進行防護需求時所采用的防止惡意第三方進行非法訪問的防護手段阻礙了這一技術的發(fā)展。通過借助機密計算，讓更多企業(yè)組織可以更安全地進行數(shù)據共享使用，不必擔心數(shù)據在使用時發(fā)生泄露。這方面有廣闊的實際應用場景，如金融機構共享數(shù)據以檢測欺詐，醫(yī)療機構結合醫(yī)療數(shù)據改善診斷，開發(fā)新的疾病治療方案等。

商業(yè)應用步伐不斷加快

在企業(yè)應用需求和技術應用價值的雙重推動下，機密計算概念的市場發(fā)展比預期要快很多。作為一項前瞻性技術，目前許多科技巨頭紛紛入局，大力探索和開發(fā)機密計算。

阿里云是較早推出機密計算的大型公有云服務商，已在全球范圍內將機密計算商業(yè)化，其云上用戶目前可以通過機密計算技術來實現(xiàn)更高等級數(shù)據保護能力。

在微軟的云服務中，也包含了一項名為Azure機密計算的安全功能，以確保數(shù)據在處理時能得到更多的控制。

在Google Cloud Next 2020大會上，谷歌云（Google Cloud）推出了一款“可保密虛擬機”（Confidential VMs）。這種新型的虛擬機可以利用谷歌的加密計算，實現(xiàn)對靜止狀態(tài)和內存數(shù)據的保密。在后端，機密虛擬機使用了基于AMD二代霄龍?zhí)幚砥鳎‥PYC）的安全加密虛擬化技術，密鑰由CPU可信執(zhí)行環(huán)境生成且無法導出，即便是谷歌自身也無法得知密鑰。

由于機密計算的應用前景已經明朗，其產業(yè)生態(tài)也在不斷完善。包括阿里巴巴、華為、AMD、微軟、甲骨文、Google等科技巨頭公司在內的企業(yè)，已在Linux基金會下啟動成立了機密計算技術應用聯(lián)盟，旨在進一步加快技術應用標準的定義和開源工具的開發(fā)。

隨著機密計算的應用加速，企業(yè)組織現(xiàn)階段已經能夠得益于這項技術的應用。研究機構建議企業(yè)應盡快探索機密計算技術的使用，特別是對于在云環(huán)境上部署應用系統(tǒng)和數(shù)據的企業(yè)。雖然目前機密計算在產品功能方面尚不完善，但基于現(xiàn)有技術的部署已經可以將數(shù)據安全性在原有基礎上向前推進一大步。

雖然機密計算有望在敏感數(shù)據安全領域帶來一場革命，但是研究人員同時也提醒企業(yè)，不能忽視大多數(shù)攻擊和數(shù)據竊取仍然通過終端漏洞來實現(xiàn)，企業(yè)還是需要持續(xù)監(jiān)控和實時保護好終端設備的安全。