過去,安全措施主要都集中在保護靜態數據或對數據進行加密傳輸上。實際上,在數據庫中、在LAN/WAN上和通過5G網絡傳輸時都會對數據進行加密,這也是所有此類系統的關鍵組成部分。幾乎所有的計算系統(甚至是智能手機)都內置有數據加密功能,并通過處理器芯片中的專用計算引擎來強化數據加密功能。
但是,如果一個居心叵測的用戶通過惡意應用程序或旁道入侵的方式訪問設備硬件,那么以上加密功能都將變得蒼白無力,而這卻是一個相對被忽視的領域。在處理加密數據時,我們必須清楚這是一個真正的漏洞。如果此時可以訪問機器內存,那么所有的數據都可以被輕松查看/復制。“機密計算”(CC)的初衷就是要消除這種風險隱患。
什么是機密計算?
Linux基金會在2019年成立了機密計算聯盟。其目的是為機密計算進行定義并制定標準,以支持和推廣開源CC工具和框架的開發。聯盟成員包括阿里巴巴、AMD、Arm、Facebook、Fortanix、谷歌、華為、IBM(紅帽)、英特爾、微軟、甲骨文、瑞士電信、騰訊和VMware等廠商。盡管有的公司已經提供了可用的工具,但考慮到Linux基金會的背景,未來這些工具很可能會匯集到更為開放的CC源代碼框架中。Linux基金會指出,聯盟將專注于正在使用的數據領域,傳輸中的數據和靜態數據的機密性不在聯盟的考慮范圍之內。聯盟對機密計算的貢獻包括:
SoftwareGuardExtensions(IntelSGX)SDK。旨在幫助應用程序開發人員保護選定的代碼和數據,讓它們不在硬件層被泄露或被篡改。
OpenEnclaveSDK。作為一個開放源代碼框架,允許開發人員使用單獨的enclaving抽象來構建受信任的執行環境(TEE)應用程序。當出現跨多個TEE架構運行的情況,開發人員也可以構建應用程序。
Enarx為一個為使用TEE保護應用程序提供硬件獨立性的項目。
由于這是一項正在“進行中的”標準化工作,因此未來可能還會有更多的項目。但是所有這些最終都將嵌入到CC的開源框架中。
CC為什么會如此特殊?
與數據加密不同,CC使用基于硬件的功能為數據、計算功能或整個應用程序創建“受信任的執行環境”(TEE)。CC隔離了這個跳板區域,讓其不被OS或VM訪問,從而防止了任何潛在的交叉隱患,沒有人可以獲得未分配給該TEE的訪問權限。TEE將阻止任何更改應用程序代碼或篡改數據的嘗試。這一點在多用戶系統(虛擬化和公有云系統)中尤其重要。在這些系統中,數據的交叉污染是真正的風險。由于這個原因,一些潛在的公有云計算用戶拒絕向云端遷移。如果用戶對硬件進行物理訪問,那么“邊道”攻擊的風險會變得很低,與非CC系統相關的潛在風險相比,這種風險更是微不足道。
為什么是現在?
受信任的執行環境是CC正常運行的關鍵。如今我們已經建立了TEE,包括基于Arm的芯片(信任區)和x86芯片(例如IntelSGX)。這種概念可以追溯到10多年前在許多PC上使用的TPM模塊。TEE的早期版本與現代版本的不同之處在于它們內置在芯片的核心中,而不是作為外部附加組件。
數據安全技術的MVP——機密計算到底有多牛?
盡管我們有了可以啟用TEE的系統,但是很少有企業嘗試使用它們,許多應用程序提供商也不支持它們。原因是它們難以部署,并且用戶需要在應用程序中啟用特定的代碼才能強制使用TEE環境。此外,TEE并非在所有處理器上都可以使用(一些IntelXeon芯片支持SGX,而有些則不支持),TEE也無法在所有芯片系列中兼容。這導致許多企業沒有部署非常重要的安全措施。
有哪些變化?
隨著數據逐漸遷離本地數據中心和多租戶云計算的出現,保護客戶數據處理流程的完整性,以及保護流程中的某些專利算法如今已變得更加迫切。云提供商可以輕松啟動新的CC實例并供客戶使用。這消除了企業運行自己支持CC的系統需求。這是雙贏的局面,客戶可以保護其數據資產,而云提供商則為客戶提供了其必要的硬件資產。這不僅帶來了新的可用性,越來越多的處理器也內置了CC概念。由于云提供商通常在可用性的初級階段就獲得了新的高端處理能力,因此用戶社區的訪問速度遠快于用戶自購設備。另外,應用程序提供商可以通過云端的硬件和工具包,將CC快速地設計到其產品中,從而使他們能夠更好地從市場中收回開發投資。
企業應該怎么做?
CC的概念并不是什么新鮮事物,但是TEE和CC在云端的可用性使其對于需要保護數據免受應用程序漏洞攻擊的企業更具吸引力。建議企業在未來6~12個月內探索CC技術的使用,并要求關鍵應用解決方案提供商遵守CC戰略并在同步完成技術部署。
CC可以大幅提高企業安全性。雖然在安全性方面無法做到百分之百,但是CC的部署將安全性又向前推進了一大步,所以用戶應盡可能地部署,特別是對于在云端上部署應用程序的企業。CC在未來1~2年內可能會成為計算的標準方法,尤其是在云端。
