51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

数据安全技术的MVP——机密计算到底有多牛?

作者:计算机世界
安全 数据安全
机密计算能够增强企业安全性,但是它们应该如何定义?用户需要做哪些工作?

无论是使用内部数据中心的企业还是迁移到云端的企业,安全性始终是最受关注的三大问题之一。应用程序解决方案提供商、机器供应商和云服务提供商都应该竭力提高安全性。

过去,安全措施主要都集中在保护静态数据或对数据进行加密传输上。实际上,在数据库中、在LAN/WAN上和通过5G网络传输时都会对数据进行加密,这也是所有此类系统的关键组成部分。几乎所有的计算系统(甚至是智能手机)都内置有数据加密功能,并通过处理器芯片中的专用计算引擎来强化数据加密功能。

但是,如果一个居心叵测的用户通过恶意应用程序或旁道入侵的方式访问设备硬件,那么以上加密功能都将变得苍白无力,而这却是一个相对被忽视的领域。在处理加密数据时,我们必须清楚这是一个真正的漏洞。如果此时可以访问机器内存,那么所有的数据都可以被轻松查看/复制。“机密计算”(CC)的初衷就是要消除这种风险隐患。

[[379718]]

什么是机密计算?

Linux基金会在2019年成立了机密计算联盟。其目的是为机密计算进行定义并制定标准,以支持和推广开源CC工具和框架的开发。联盟成员包括阿里巴巴、AMD、Arm、Facebook、Fortanix、谷歌、华为、IBM(红帽)、英特尔、微软、甲骨文、瑞士电信、腾讯和VMware等厂商。尽管有的公司已经提供了可用的工具,但考虑到Linux基金会的背景,未来这些工具很可能会汇集到更为开放的CC源代码框架中。Linux基金会指出,联盟将专注于正在使用的数据领域,传输中的数据和静态数据的机密性不在联盟的考虑范围之内。联盟对机密计算的贡献包括:

Software Guard Extensions(Intel SGX)SDK。旨在帮助应用程序开发人员保护选定的代码和数据,让它们不在硬件层被泄露或被篡改。

Open Enclave SDK。作为一个开放源代码框架,允许开发人员使用单独的enclaving抽象来构建受信任的执行环境(TEE)应用程序。当出现跨多个TEE架构运行的情况,开发人员也可以构建应用程序。

Enarx为一个为使用TEE保护应用程序提供硬件独立性的项目。

由于这是一项正在“进行中的”标准化工作,因此未来可能还会有更多的项目。但是所有这些最终都将嵌入到CC的开源框架中。

CC为什么会如此特殊?

与数据加密不同,CC使用基于硬件的功能为数据、计算功能或整个应用程序创建“受信任的执行环境”(TEE)。CC隔离了这个跳板区域,让其不被OS或VM访问,从而防止了任何潜在的交叉隐患,没有人可以获得未分配给该TEE的访问权限。TEE将阻止任何更改应用程序代码或篡改数据的尝试。这一点在多用户系统(虚拟化和公有云系统)中尤其重要。在这些系统中,数据的交叉污染是真正的风险。由于这个原因,一些潜在的公有云计算用户拒绝向云端迁移。如果用户对硬件进行物理访问,那么“边道”攻击的风险会变得很低,与非CC系统相关的潜在风险相比,这种风险更是微不足道。

为什么是现在?

受信任的执行环境是CC正常运行的关键。如今我们已经建立了TEE,包括基于Arm的芯片(信任区)和x86芯片(例如Intel SGX)。这种概念可以追溯到10多年前在许多PC上使用的TPM模块。TEE的早期版本与现代版本的不同之处在于它们内置在芯片的核心中,而不是作为外部附加组件。

[[379719]]

尽管我们有了可以启用TEE的系统,但是很少有企业尝试使用它们,许多应用程序提供商也不支持它们。原因是它们难以部署,并且用户需要在应用程序中启用特定的代码才能强制使用TEE环境。此外,TEE并非在所有处理器上都可以使用(一些Intel Xeon芯片支持SGX,而有些则不支持),TEE也无法在所有芯片系列中兼容。这导致许多企业没有部署非常重要的安全措施。

有哪些变化?

随着数据逐渐迁离本地数据中心和多租户云计算的出现,保护客户数据处理流程的完整性,以及保护流程中的某些专利算法如今已变得更加迫切。云提供商可以轻松启动新的CC实例并供客户使用。这消除了企业运行自己支持CC的系统需求。这是双赢的局面,客户可以保护其数据资产,而云提供商则为客户提供了其必要的硬件资产。这不仅带来了新的可用性,越来越多的处理器也内置了CC概念。由于云提供商通常在可用性的初级阶段就获得了新的高端处理能力,因此用户社区的访问速度远快于用户自购设备。另外,应用程序提供商可以通过云端的硬件和工具包,将CC快速地设计到其产品中,从而使他们能够更好地从市场中收回开发投资。

企业应该怎么做?

CC的概念并不是什么新鲜事物,但是TEE和CC在云端的可用性使其对于需要保护数据免受应用程序漏洞攻击的企业更具吸引力。建议企业在未来6~12个月内探索CC技术的使用,并要求关键应用解决方案提供商遵守CC战略并在同步完成技术部署。

CC可以大幅提高企业安全性。虽然在安全性方面无法做到百分之百,但是CC的部署将安全性又向前推进了一大步,所以用户应尽可能地部署,特别是对于在云端上部署应用程序的企业。CC在未来1~2年内可能会成为计算的标准方法,尤其是在云端。

 

责任编辑:赵宁宁 来源: 今日头条
数据安全MVP机密计算
相关推荐
计算到底有多大?
计算机的云计算已经舍我其谁地成为了现今互联网发展的主题,其延伸和发展出的云存储也当仁不让地成为了主流的数据存储和管理方式。云存储系统正逐步成为网站和网络服务方用于存放管理自己数据信息的主要选择。云那头究竟风景如何,让我们来探个究竟。

2012-05-31 09:24:55

云计算云存储
Netty、Kafka中零拷贝技术到底有
DMA技术的推出使得内存与其他组件,例如磁盘、网卡进行数据拷贝时,CPU仅仅需要发出控制信号,而拷贝数据的过程则由DMA负责完成。

2022-09-23 08:47:01

DMA网卡CPU
机房活架构,到底有
今天我们就给大家讲解讲解这个大厂才会玩儿的多机房多活架构师什么,大家也可以了解了解,就当拓个知识面出来。

2022-04-08 07:52:00

架构多机房多活
“12306”架构到底有逼?
笔者专门研究了一下“12306”的服务端架构,学习到了其系统设计上很多亮点,在这里和大家分享一下并模拟一个例子:如何在100万人同时抢1万张火车票时,系统提供正常、稳定的服务。

2019-10-29 15:00:26

12306架构高并发
微信支付架构到底有
微信支付在各个操作系统,各个应用下的挑战还是蛮大的,这也得益于腾讯架构师的专业。

2020-07-20 07:55:53

微信支付架构
淘宝高可用异地活架构到底有?
异地多活,作为一种高可用部署架构,成为大中型互联网公司的选择。像大家熟知的大型互联网公司,如阿里、腾讯、百度、网易、新浪等等都已经完成了异地多活的技术重构。

2020-11-20 09:23:01

高可用异地淘宝
开源云计算到底有没有前途可言?
开源在基础设施软件设计中的强势发展,加上云计算得到大幅采用,两者已形成了强大的协同效应:它们产生的影响和效益可谓影响深远。这种协同效应来源于需要灵活性、通过免费或低成本的软件许可费来节省费用、消除厂商锁定问题(因而阻止了厂商试图控制整个系统架构)以及其他好处。

2012-09-21 09:16:48

开源云平台云计算OpenStack C
云应用服务到底有安全?
IT民主化和SaaS的广泛应用意味着每个人都需要了解SaaS云计算应用程序的安全性。本文将提出一些关于SaaS应用程序安全性的基本问题。特别是身份验证、加密保护和管理。

2018-04-16 11:34:59

Doris到底有,为什么大厂都在使用它?
ApacheDoris源于百度2008年启动的产品Palo在2018年捐献给Apache基金会,是一个基于MPP架构的高性能、实时的分析型数据库,它非常简单易用,而且性能还不错,仅需亚秒级响应时间即可获得查询结果,不仅支持高并发的查询场景,也可以支持高吞吐的复杂分析场景,比如你可以基于它做用户行为分析、日志检索平台、用户画像分析、订单分析等应用。

2024-01-19 14:45:36

ApacheDoris架构
姚期智院士:神秘量子计算跟经典计算到底有何不同
量子计算已经出现在公众的视野中很久了。尤其是最近几年的发展,量子计算机似乎即将成为现实。但是量子力学对外行人来说是非常陌生的,甚至很多的计算机科学家,他们仍认为量子计算很神秘。

2018-10-22 14:33:19

1%到底有惨?!
虽然各家对于数字的认识不同,但是对于微软WindowsPhone的未来市场预期并不看好。在IDC的预测中,Android会是来年唯一增长的平台,从2016的82.6%增量、到2020的84.6%增量。换言之,消费者将在未来四年购买16亿部Android设备。

2016-09-22 16:47:55

iOSAndroidWindows Pho
Google I/O 2014:数字说明Google到底有
分析完了Google的各路战略,是时候好好体会Google在字里行间透露的那些值得关注的数字吧。

2014-06-27 10:28:51

GoogleIO大会数字
亚马逊云计算到底有多大?承认自己没见过世面吧
Google和Microsoft在烧钱上的本事,无人能及。但他们的基础设施和平台服务,面对亚马逊时的竞争力,还是令人生疑。但若从长期来看,亚马逊能否跟得上google和microsoft的脚步,却很成问题了。于是,AWS的副总裁,卓越的工程师,JamesHamilton透露了AWS云的规模和范围。目的自然为了告诉大家,亚马逊的领先地位以及对云计算的决心。

2015-10-20 13:23:17

亚马逊AWS云规模
数据预测楼市 到底有靠谱?
现在还有多少人愿意花多少钱在上海市区买房子呢买多大呢买几房,这类问题可以根据大数据来进行预判。这一板块同样包括了四个方向:消费者识别、年龄和家庭结构、消费需求轨迹和消费者描摹。也就是究竟是谁在买房,年龄属性、职业特点、性别都是什么样子

2016-10-25 09:25:36

大数据楼市走势
传统RAID技术瓶颈到底有哪些?
在各类存储介质中,机械磁盘由于采用了电机驱动,故障率最高,平均无故障时间(MTBF)指标也最低,因此磁盘的数据保护技术至关重要。

2019-01-21 08:13:27

RAID类型磁盘
Facebook“大数据到底有多大?
据说这是一个“大数据”的时代,到底有多大呢?Facebook最近在总部的一次会议中披露的一组数据可以给大家一个初步的印象,来一起看看每天Facebook上都得处理多少数据吧。

2012-08-23 14:21:47

大数据
Facebook“大数据到底有多大
目前Facebook有着世界最大的分布式文件系统,单个集群中的数据存储量就超过100PB。在Facebook内部,从一开始就没有在不同的部门之间(比如广告部和用户支持部)设立障碍或者分割数据。这样一来产品开发者就可以跨部门获得数据,实时知晓最近的改动是否增加了用户浏览时间或者促成了更多的广告点击。

2012-08-23 15:10:44

Facebook
物联网安全成本到底有多高?
接下来的五年中,保障每一个物联网设备安全的成本会是多少全球IT研究与顾问咨询公司Gartner的物联网行业分析报告预测,到了2016年,全球接入互联网的设备将达到64亿,并将在2020年增加至208亿。而调查研究公司MarketsandMarkets预计称,2020年全球物联网的安全市场将从2015年的68.9亿美元增长至289亿美元。

2016-01-18 10:52:28

2021年泄露事件盘点,数据泄露到底有疯狂?
2021年数据安全问题一直备受社会关注,数据泄露事件的披露始终占据媒体的头条榜首。在大数据、互联网、5G的迅速发展,为人类带来无限发展机遇的同时却也催生了大量的信息泄露事件,数据泄露到底有多疯狂?接下来,带您一起回顾2021最受关注的数据泄露大事件……

2022-01-17 17:28:40

数据泄露
计算世界到底有多大?(图)
Amazon,Microsoft,Rackspace和其他企业正在建设海量数据中心。下面一起来看看企业数据中心和云计算中心之间的差别。

2012-02-22 13:59:11

云计算数据中心
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服