楠木軒

科技巨頭們正在入局解決數據安全的新方法——機密計算

由 梁丘憐翠 發佈於 科技

疫情當下,數據的傳輸與安全變得更加重要。尤其是對於企業而言,如何將其工作負載以及敏感數據安全地傳送到雲中,低成本地完成遠程工作,是當前亟待解決的問題。

上週,谷歌雲推出一款新產品機密虛擬機(VM),這款基於機密計算的安全產品,有望推動更多的公司將數據儲存在雲端,促進雲市場的發展。

什麼是機密計算?

谷歌雲安全副總裁表示,機密計算是一種突破性技術,使用這種技術,可以完成對數據的加密。

實際上,對於數據安全而言,主要包括靜態數據安全、數據在傳輸中的安全和數據在使用中安全。

其中靜態數據的安全,可以直接使用數據加密或者令牌化(Tokenization)等安全技術,即便是從服務器或數據庫複製數據,黑客也無法訪問信息。

要保證數據在傳輸過程中的安全,意味着當信息在服務器和應用程序之間傳輸時,未經授權的各方不能看到信息。目前已經建立起兩種較為成熟的方法可以確保數據傳輸安全。

但對於數據使用安全,由於在數據在使用的過程中,只有明文數據(未經加密或其他保護的數據)才能在應用程序中完成計算,這就意味着在這一過程中,惡意軟件可以轉儲內存中的內容以竊取信息,因此即便是在服務器的硬盤驅動器上對數據進行加密,結果也無濟於事。所以,保障數據存儲中的安全格外困難。

機密計算就是針對數據在使用過程中的安全問題所提出的一種解決方案。它是一種基於硬件的技術,將數據、特定功能、應用程序,同操作系統、系統管理程序或虛擬機管理器以及其他特定進程隔離開來,讓數據存儲在受信任的執行環境(TEE)中,即使是使用調試器,也無法從外部查看數據或者執行操作。TEE確保只有經過授權的代碼才能訪問數據,如果代碼被篡改,TEE將阻止其繼續進行操作。

機密計算對雲計算的價值是什麼?

此前,由於數據在使用中的安全問題,許多企業擔心其敏感數據泄露,因此拒絕將一些敏感的應用程序遷移到雲中,這在一定程度上阻礙了公共雲的發展。但機密計算的出現,正在試圖掃除這一障礙。

目前,機密計算作為一種解決數據安全的新方法在技術行業得到發展。

去年,谷歌、微軟、阿里巴巴和VMware等幾家科技公司加入了機密計算聯盟(CCC),正其心協力解決雲計算中的數據安全。CCC由Linux基金會託管的一個開源社區,致力於定義和加速機密計算的應用。

此外,谷歌雲推出的機密虛擬機(VM)作為一款基於機密計算的安全產品,是第一款可以對使用中的數據進行加密的工具,具有代表性突破。

Google Cloud安全總經理兼副總裁Sunil Potti表示,金融和醫療保健等領域的公司希望採用雲技術來管理其數據工作負載,但是,數據隱私或合規性要求經常成為障礙。基於機密計算的安全工具將簡化這些部門中公司的安全運營,以便他們可以安全地利用雲創新。

機密虛擬機如何運作?

根據谷歌雲的介紹,機密虛擬機建立在第二代AMD芯片EPYC處理器上,通過較低的計算能力為客户加密數據以完成機密計算,客户能夠以加密的方式在谷歌雲上運行其工作負載。

谷歌雲方面表示,機密虛擬機的安全級別非常高,可以解鎖新的計算方案。這些機密虛擬機與真正用在加密和基於N2D高性能虛擬機相同,都是基於AMD EPYC安全加密虛擬化(SEV),該技術可以在保持其性能的同時,對虛擬機內存進行加密,利用AMD安全處理器生成密鑰,從而鎖定虛擬機內存,不僅限制了公司數據的訪問,還限制了主機上運行虛擬機的訪問。

此外,機密虛擬機將與谷歌的安全強化型虛擬機結合,為客户提供額外的機密影像。這為客户將工作負載轉移到谷歌雲上提供了更多的動力支撐。

儘管機密虛擬機的出現可能促使更多的企業使用雲服務平台,同樣值得注意的是,機密計算在應用方面仍然處於起步階段,是否真的能在實際應用中有效保護數據安全,還有待進一步觀察。

參考來源:

https://fortune.com/2020/07/20/confidential-computing-cloud-hackers/

https://spectrum.ieee.org/computing/hardware/what-is-confidential-computing

https://analyticsindiamag.com/can-google-get-a-leg-up-in-the-confidential-computing-market-with-its-new-security-offerings/

雷鋒網雷鋒網雷鋒網