通过保密计算扩展“信任圈”

■北京 李磊

公有云资源提供的运营效率和灵活性等优势促使组织将应用和数据迁移到位于内部基础架构安全范围之外的外部计算平台。现在，许多企业正在采用“云优先”的设计方法，该方法更多地强调弹性和低成本，而非所有权和管理，在某些情况下还包括安全性。

Gartner 在分析了全球公有云服务趋势之后，曾预测这些资源上的支出将从2018年的1824亿美元增加到2022年的3312亿美元，到2019年底，在新软件投资中有30%都是云原生的。

通过信任他人来保护您的数据

在享受第三方基础设施和应用带来的好处的同时，也会产生风险。在组织拥有和管理的基础架构之外的计算平台上部署敏感应用和数据，需要信任其服务提供商的硬软件，以处理和最终保护这些数据。

如果一旦云提供商成为网络攻击的对象，那么一味信任他们将可能对组织的财产和声誉带来灾难。埃森哲在其第九年度网络犯罪成本研究报告称，2018年涉及恶意内部人员或执行恶意代码的网络攻击的平均成本为每年300万美元。

保密计算（Confidential Computing）

在云上数据保护方面，对云的可信度问题的一种回应是可信执行环境（TEE）的出现，以此产生了“保密计算”的概念。在2019年10月份，众多行业领导者共同组成了保密计算联盟（CCC）。

保密计算联盟致力于解决使用过程中的数据的安全问题，使加密的数据可以在内存中进行处理，而不会暴露给系统的其他部分。这是行业领导者针对使用中的数据进行的第一个全行业举措，因为当前的数据加密方法主要集中于静态数据或传输中的数据。随着公司将更多的工作负载转移到多个环境（包括本地、公有云、混合云和边缘环境）中，保密计算联盟的工作尤为重要。

安全区域

解决数据使用的安全问题的最重要技术之一是以安全保护区的形式部署，例如由Intel Software Guard Extensions（SGX）建立的受保护内存区域。安全保护区允许应用程序安全地被执行，并在CPU 硬件级别上强制执行。所有数据都在内存中被加密，并且仅在CPU 内部运行时才会被解密：即使是操作系统、系统管理程序或root 用户受到威胁，数据也仍然受到完全的保护。借助安全保护区的形式，可以首次做到在数据全生命周期（包括静态、运行和使用过程中）全面保护数据。

安全区域可以使用称为“认证”（Attestation）的过程来进一步确保安全性，以验证CPU 是否是受信任的，以及所部署的应用程序是否是安全的且未被篡改的。

通过部署被认证的安全区域，用户能够完全确信相关的代码按预期来运行，并且在处理过程中数据受到完全保护。这种方法越来越受到欢迎，例如，它使包括数据分析、机器学习和人工智能在内的一些敏感应用能够在合规的情况下在云环境中安全运行。

运行中加密

加密是一种行之有效的数据安全方法，特别是在保护静态数据和动态数据时。但是，如上所述，保护使用中的数据是保密计算的关键要求和保密计算联盟的重点内容。当应用程序开始运行时，其数据极易受到各种攻击，包括恶意内部人员、root 用户、凭据泄露、系统零日漏洞和网络入侵者。

运行过程中加密则是通过硬件辅助的内存加密来为应用提供更强的安全性，以保护运行中的数据。通过优化可信计算基（TCB），它可以实现在内存中处理加密数据，而无需将其暴露给系统的其他部分。

这就降低了敏感数据被泄露的风险，并为用户提供了更好的控制和透明度。运行中加密的方式可在TEE 中安全地运行应用程序并保护它们，甚至可以防止root 用户和对服务器的物理访问，也为应用提供了完整的密码保护。

扩大“信任圈”

企业上云所关心的头等大事仍然是安全性。保密计算和保护运行中的数据为敏感应用提供了一个安全居所，可以保护它们免受当前针对基础设施的攻击。

保密计算对于保护云环境的数据至关重要，它从根本上帮助建立和扩展了云计算中的“信任圈”，它创建了隔离的运行环境，并允许在受保护的状态下执行敏感应用，从而确保云应用程序和数据在运行时的安全。

通过安全区域和运行过程中加密的方式来支持保密计算，用户就能确信，无论发生什么情况，他们的数据都受到密码的保护。零日攻击、基础设施受损都无法破坏数据。保密计算以现代Internet 级的应用程序所需的性能扩展了最敏感的云应用所需的安全性。

云安全的未来

正如Gartner 报道，企业正在将其敏感数据和应用迁移到公有云服务，这种做法可以使他们免于对IT基础设施的管理和维护，而这些基础设施在未来将不可避免地过时。

领先的IT服务商已经认识到，保密计算提供了一种安全模型，可以解决不可信的硬件和软件问题，而正是这些问题阻碍了向云的迁移。

随着用户数量的增加，我们将依赖保密计算环境来保护工业4.0、数字健康、物联网（IoT）和人工智能等相关领域中迅猛增长的数据。

随着保密计算的深入发展，企业可能会考虑在未来将保密计算体系结构作为处理自身数据的先决条件。