机密计算并不是一个新概念。早在2020年,研究机构Gartner就在其年度云安全技术成熟度曲线中将机密计算列为33项关键安全技术之一。一。但Gartner曾认为,机密计算需要长期的理论研究和研发准备,成熟的商业市场应用还需要5到10年的时间。但由于行业对数据在使用过程中的安全保护需求的快速增长,机密计算应用的步伐有望大大加快。有研究机构预测,保密计算技术将在未来1~2年内成为安全计算的标准方法,尤其是在云计算环境中。数据保护技术的变革众所周知,数据只有被更多地使用,才能发挥更大的价值。然而,现有的数据保护技术更多的是针对数据静态存储和传输的保护,却难以对使用中的数据进行有效保护,因为应用系统需要明文数据(未加密或通过其他方式保护的数据)只能执行计算,这意味着恶意软件可以窃取系统内存中的机密数据。对使用中数据的威胁不仅仅是理论上的。以美国零售商Target为例,它遭到了内存拦截恶意软件的攻击,它在数据处理过程中从POS系统的内存中窃取信用卡信息,就像刷卡一样简单。机密计算的另一个应用需求是云计算环境下的数据隐私保护。经过十多年的发展,云计算服务已经非常普遍,但很多企业管理者对于将私有业务数据交给第三方云服务商的系统进行保管仍心有余悸。数据隐私和机密性仍然是当今主要的云安全问题。云上业务系统面临的一个严重的数据安全风险是,为了充分利用分析、索引、协作工具、内容共享等云服务,需要对数据进行解密处理。但这种解密违背了数据安全的基本原则:始终保护敏感数据资产免受任何人未经授权的访问。不断增长的应用价值机密计算是一项根本性的技术变革,可确保敏感数据在内存中处理时也得到加密,而不是以明文形式使用。机密计算在基于硬件的可信执行环境(TEE)中执行计算,保护使用中的数据。该技术的工作原理是在处理过程中将敏感数据隔离在安全的CPU内存空间(飞地)中,这样云提供商或任何其他第三方就看不到这些数据。通过在硬件的最低层提供安全性,机密计算可确保数据机密性、数据完整性和代码完整性。这些技术特性意味着企业中的敏感数据可以在最大程度上不暴露给其他应用程序、管理程序、操作系统或云服务提供商的情况下使用。企业有望从机密计算中获得的价值主要包括:(1)加强对知识产权和敏感数据的保护。机密计算加强了对组织最敏感数据资产的保护。知识产权、商业秘密、合同和个人消费者/用户数据在处理过程中受到保护,防止未经授权的访问。加强对敏感数据的保护可以为企业带来声誉和竞争优势。(2)提高数据监管合规性越来越多的数据隐私法规致力于在敏感数据泄露后保护消费者。企业要想避免数据泄露,就需要考虑以上三种数据状态的所有潜在攻击面,而不能只关注静态数据或传输中数据。机密计算可以帮助公司改进合规性工作,尤其是在使用云计算基础架构时。(3)充分利用云能力一些企业为了优先考虑安全性而限制了对云服务的更多使用,因为这些云应用程序需要加密才能正常运行。机密计算在云中提供所需级别的数据机密性,同时仍允许组织充分利用云功能,例如大数据处理、高级分析或运行云原生应用程序。(4)更好的协同创新数据孤岛往往是多方协同计算创新的障碍。分布式云计算能力促进了多个企业组织之间的数据共享和分析,但企业组织在需要保护敏感信息时为防止恶意第三方非法访问而采取的保护措施阻碍了该技术的发展。借助机密计算,更多的企业和组织可以更安全地共享和使用数据,无需担心数据在使用过程中泄露。这方面有广泛的实际应用场景,例如金融机构共享数据以检测欺诈,医疗机构结合医疗数据以改进诊断,以及开发新的疾病治疗方案。商业应用步伐不断加快在企业应用需求和技术应用价值的双重推动下,机密计算概念的市场发展速度远超预期。作为一项具有前瞻性的技术,众多科技巨头纷纷入局,大力探索和发展机密计算。阿里云是较早推出机密计算的大型公有云服务商,并在全球范围内实现了机密计算的商业化。目前,其云上的用户可以使用机密计算技术实现更高级别的数据保护能力。在微软的云服务中,还包含了一项名为AzureConfidentialComputing的安全功能,以确保更好地控制数据的处理方式。在GoogleCloudNext2020大会上,谷歌云(GoogleCloud)推出了一款“机密虚拟机”(ConfidentialVMs)。这种新型虚拟机可以利用谷歌的加密计算来实现静态和内存中数据的机密性。在后端,机密虚拟机采用基于第二代AMDEPYC处理器(EPYC)的安全加密虚拟化技术。密钥由CPU可信执行环境生成,不能导出。甚至谷歌自己也不知道密钥。.随着机密计算应用前景的明朗,其产业生态也在不断完善。包括阿里巴巴、华为、AMD、微软、甲骨文、谷歌等科技巨头在内的公司在Linux基金会下发起了机密计算技术应用联盟,旨在进一步加速技术应用标准的定义和开源工具的开发。发展。随着机密计算的采用加速,企业组织现在能够从这项技术的应用中受益。研究机构建议,企业应尽快探索使用机密计算技术,尤其是将应用系统和数据部署在云环境中的企业。虽然保密计算在产品功能上还不完善,但基于现有技术的部署,已经可以在原有基础上,在数据安全上迈出一大步。虽然机密计算有望在敏感数据安全领域带来一场革命,但研究人员也提醒企业,大多数攻击和数据窃取仍是通过终端漏洞实现的,企业仍需持续实时监控和保护终端设备安全.参考链接:https://securityboulevard.com/2022/05/confidential-computing-a-revolution-in-sensitive-data-security/
