企业对云服务的需求呈爆炸式增长,对高度安全的云平台的需求更加迫切。许多处理敏感数据的企业都担心将其业务迁移到云端,这并非没有道理。一段时间以来,公共云实际上可以提供比公司内部设施更多的保护。云计算提供商的专家团队可以确保云计算服务器保持最佳安全状态以抵御外部威胁。然而,实现这种安全级别是有代价的。由于业务运行在云平台上,企业将面临数据泄露的风险,使合规工作变得更加复杂。芯片、软件和云计算基础设施中数据安全技术的最新发展正在改变这种状况。通过有效地锁定内部员工或外部攻击者的数据访问,新的安全功能将公共云转变为可信的数据安全环境——机密云。这消除了最后一道安全屏障,即使是最敏感的数据和应用程序也无法完全迁移。借助这种安全且保密的云,企业现在可以随时随地拥有其数据、工作负载和应用程序的独家所有权。即使是世界上一些最注重安全的企业现在也认为机密云是存储、处理和管理数据的最安全选择。机密云的吸引力基于专有数据控制和将数据风险降低到硬件级别的承诺。什么是机密云?在过去的一年里,有很多关于机密计算的讨论,包括安全飞地或可信执行环境(TEE)。这些现在可在基于AmazonNitroEnclaves、IntelSGX(软件防护扩展)和AMDSEV(安全加密虚拟化)芯片构建的服务器中使用。ConfidentialCloud利用这些技术建立一个安全且不可逾越的加密边界,该边界从受信任的硬件无缝扩展,以保护使用中的、静态的和动态的数据。传统的分层安全方法在数据和不良行为者之间设置障碍,或为存储或通信提供独立加密,而机密云提供与数据本身密不可分的强大数据保护。反过来,这消除了对传统边界安全层的需求,同时让数据所有者可以控制数据存储、传输或使用的位置。由此产生的机密云在概念上类似于网络分段和资源虚拟化。然而,机密云不仅隔离和控制网络通信,而且将数据加密和资源隔离扩展到IT、计算、存储和通信的所有基本元素。机密云汇集了在与云操作内部人员、恶意软件或潜在网络攻击者隔离的可信执行环境中以机密方式运行任何工作负载所需的一切。这也意味着即使服务器受到物理攻击,其工作负载仍然是安全的。即使网络攻击者拥有服务器的根访问权限,也可以有效地阻止其查看数据或访问数据和应用程序,从而提供传统微分段技术无法提供的安全级别。比本地更安全一个强有力的论据是,知名的主要云提供商提供了保护绝大多数本地IT基础设施所需的资源和重点。但数据开放的云计算供应商给企业带来了更大的数据泄露风险,并且无法在首席信息安全官的完全控制下锁定受信任的环境。数据泄露已经体现在一些迄今为止最广为人知的泄露事件中,比如一名AWS员工泄露了CapitalOne的大量数据,这已经成为云平台数据泄露的典型例子。采用机密云消除了云内部人员泄露数据的可能性,从而关闭了原本会暴露给云提供商的数据的攻击面。数据控制可以扩展到任何可以公开数据的地方,包括存储、网络和多个云平台。采用您自己的机密云OEM软件开发商和SaaS提供商已经在构建机密云来保护他们的应用程序。Redis最近发布了其高性能软件的安全版本,可在多个安全计算环境中运行,可靠地创建了世界上最安全的商业数据库。Azure机密计算部门已与机密云提供商合作,在不对底层应用程序进行任何修改的情况下,在现有基础架构上安全地构建和运行任何工作负载。机密计算可用于运行以前需要修改代码才能运行的应用程序。那是因为最初的机密计算技术侧重于保护内存。必须修改应用程序以在受保护的内存段中运行选定的敏感代码。重写和重新编译应用程序的需求对大多数企业来说是压倒性的,甚至使用遗留或现成的软件包也是不可能的。新的“提升和转移”实施路径使企业能够在受保护的机密云中创建、测试和部署敏感数据工作负载,而无需修改或重新编译应用程序。如今,几乎所有云计算提供商(包括AWS、MicrosoftAzure和GoogleCloud)都提供机密的云计算基础设施。机密云软件允许应用程序甚至整个环境在机密云平台中运行而无需任何修改。添加的软件抽象和虚拟化层的优势在于,使机密云本身不受英特尔、AMD、亚马逊和ARM等公司开发的无数专有SecureEnclave技术和版本的影响。新一代安全厂商简化了为潜在公有云客户实现私有测试和演示环境的过程,加速了私有应用的飞地和完整的机密云基础设施的生成过程。数据安全是应用上云、整合IT资源的最后一道坎。在为最敏感的应用程序和数据之外的云安全漏洞提供解决方案方面向前迈出了重要一步。消除数据漏洞为企业提供了广泛的机会,可以简单地部署基于机密云构建的更安全的托管IT基础设施。
