内存的安全功能并不是一个新概念,但因为新冠病毒肺炎疫情,远程工作和连接的需求激增,这也意味着保障信息安全变得更加重要,更具挑战性,特别是对于新兴用例,例如跨通信基础设施(包括5G)的数据共享。同时,安全功能增加了内存设计的复杂性。甚至在边缘计算、物联网(IoT)、联网汽车和其他市场显着增长之前,内存中的安全功能就在逐渐增加。电可擦除可编程只读存储器(EEPROM)是信用卡、SIM卡和无钥匙进入系统的最爱;SD卡中的“S”代表“secure”;和基于闪存的固态硬盘驱动器(SSD)多年来一直包含加密功能。安全性已经牢固地嵌入到分布在计算系统和网络环境中的内存和网络设备中,但这些基于内存的安全系统仍然必须考虑到人为错误——用户打开伪装成附件的病毒,或信息安全专家们仍然需要处理错误配置路由器的后果。类似地,安全存储器无法执行其全部功能,除非它被正确配置并与整个系统(包括软件)协调。随着5G技术的加速发展,数据中心面临哪些挑战?可以说有两种“SoC”——安全运营中心(securityoperationscenter)和系统单芯片??(systemsonchip)正在融合。Rambus等公司的产品旨在保护每个连接,以响应云和边缘计算服务器连接不断增长的带宽需求。同时,英飞凌还扩展了旗下赛普拉斯的SemperNOR闪存,以应对每一个连接的系统都不可避免地面临黑客篡改闪存元件内容的问题。篡改可能会影响任何数量的不同计算平台,包括自动驾驶车辆,它们基本上是四轮服务器;以及通过5G连接增强的工业、医疗和物联网(IoT)应用。安全性不仅需要集成,还需要在不同设备的整个生命周期内进行管理——其中一些设备具有长达十年的嵌入式内存。具有高内存内容的应用程序对黑客最有吸引力。根据市场分析师ThomasCoughlin的说法,加密密钥管理仍然是确保系统安全的关键;随着非易失性存储器的普及,嵌入式系统的安全性变得越来越重要,因为即使设备断电,数据仍然会永久存储。Coughlin指出,添加安全功能的挑战较小,例如SSD上的数据可以加密;密码,智能手机成为身份验证代理;但这种情况会带来意外暴露未加密数据的可能性。Coughlin说,风险是实施缺陷或复杂性:“让安全变得简单是关键,比加密数据并将其放入硬件更重要。”SSD和内存供应商Virtium营销副总裁ScottPhillips表示,加密SSD的效果有限,需要采用多层管理方法。他指出,例如TrustedComputingGroup的Opal规范可以实现BIOS级别的pre-boot认证、配置和集中管理,这些都是防止黑客攻击非常关键的功能;规模庞大的公司无法做到全面完善的安全保障。”随着5G的加速发展,人们正在努力实现跨整个数据中心和数据中心之间的数据路径保护;然而,要充分发挥硬件安全优势,挑战依然存在。集成的需要在工业应用市场,集成需要将不同的系统结合起来;与此同时,AWS、微软Azure等超大规模数据中心运营商也在积极推进数据安全。不过,Phillips指出,这些防御措施仍然需要对最终用户实施。尽管标准和要求越来越多,但安全解决方案的互操作性仍然是一个问题,供应商试图将他们的产品和服务定位为市场领导者。“黑客总是会领先一步,”菲利普斯补充道。“他们知道所有这些小漏洞在哪里,这就是他们正在寻找的东西;这真的需要一个集中的、超级谨慎的IT人员或部门来穿过并关闭这些漏洞。”将安全性嵌入存储设备而不是用螺丝将其固定的想法与软件解决方案不同。隐私保护已成为应用程序开发过程中不可或缺的一部分。一种称为“机密计算”的新兴框架旨在通过在基于硬件的可信执行环境(TEE)中隔离计算来保护使用中的数据。在处理过程中,数据在内存中和CPU之外的其他地方被加密。英特尔的SGX支持可信计算环境,这是主内存的一个安全区域,可确保加载代码和数据的机密性和完整性受到保护。硬件和软件公司都在推广机密计算,包括最近宣布将其应用于容器工作负载的谷歌;Intel还通过IntelSoftwareGuardExtensions为MicrosoftAzure等云服务提供商实施了TEE。英特尔产品保障和安全架构高级首席工程师SimonJohnson表示,机密计算需要共同承担安全责任,但人类仍然是最薄弱的环节。约翰逊说,英特尔通过执行程序代码支持开发人员保护数据,而机密计算运动源于企业保护来自各种来源的数据的需求,包括敏感的医疗保健信息、财务记录和知识产权(IP)。他指出,平台的提供者不应该看到数据。“你想让尽可能多的人远离你的个人数据。”英特尔SGX包括基于硬件的内存加密,可以将特定应用程序代码与数据隔离开来。在内存中,用户级程序代码可以分配到专用的“隔离区域”,与以更高特权级别执行的处理程序分开。这可以实现更细粒度的控制和保护,以防止诸如针对RAM的冷启动攻击之类的事情。该框架还旨在防止软件攻击,即使在操作系统、驱动程序、BIOS或管理程序受到损害时也是如此。机密计算可以支持分析不属于用户的大型数据集等工作负载,并使加密密钥在离工作负载更近的地方执行以改善延迟。“目前我们实际上只有提供保护的软件,我们缺乏针对此类环境的硬件保护解决方案;”约翰逊指出,机密计算可以通过机密计算联盟许可的硬件和软件生态系统来保护数据。或程序代码处理。Virtium的Philips指出,易用性一直是提高安全性的关键,因此实施“一触即发”的内存加密将是一个目标:“全面的安全性将来自其之上的所有附加功能;”他指出,这个想法不仅要加密内存,还要确保完全的数据隔离,以确保安全的环境,“机密计算不仅仅是加密内存。”这也与容纳一个异质的综合世界有关;他说:“当数据在使用时,你必须提供一层访问控制,并且能够证明你正在使用该软件,数据在特定区域;所有这一切都是以阶梯方式构建的。“
