本文轉(zhuǎn)自雷鋒網(wǎng)，如需轉(zhuǎn)載請至雷鋒網(wǎng)官網(wǎng)申請授權(quán)。

疫情當(dāng)下，數(shù)據(jù)的傳輸與安全變得更加重要。尤其是對于企業(yè)而言，如何將其工作負載以及敏感數(shù)據(jù)安全地傳送到云中，低成本地完成遠程工作，是當(dāng)前亟待解決的問題。

上周，谷歌云推出一款新產(chǎn)品機密虛擬機（VM），這款基于機密計算的安全產(chǎn)品，有望推動更多的公司將數(shù)據(jù)儲存在云端，促進云市場的發(fā)展。

[[334570]]

什么是機密計算？

谷歌云安全副總裁表示，機密計算是一種突破性技術(shù)，使用這種技術(shù)，可以完成對數(shù)據(jù)的加密。

實際上，對于數(shù)據(jù)安全而言，主要包括靜態(tài)數(shù)據(jù)安全、數(shù)據(jù)在傳輸中的安全和數(shù)據(jù)在使用中安全。

其中靜態(tài)數(shù)據(jù)的安全，可以直接使用數(shù)據(jù)加密或者令牌化（Tokenization）等安全技術(shù)，即便是從服務(wù)器或數(shù)據(jù)庫復(fù)制數(shù)據(jù)，黑客也無法訪問信息。

要保證數(shù)據(jù)在傳輸過程中的安全，意味著當(dāng)信息在服務(wù)器和應(yīng)用程序之間傳輸時，未經(jīng)授權(quán)的各方不能看到信息。目前已經(jīng)建立起兩種較為成熟的方法可以確保數(shù)據(jù)傳輸安全。

但對于數(shù)據(jù)使用安全，由于在數(shù)據(jù)在使用的過程中，只有明文數(shù)據(jù)（未經(jīng)加密或其他保護的數(shù)據(jù)）才能在應(yīng)用程序中完成計算，這就意味著在這一過程中，惡意軟件可以轉(zhuǎn)儲內(nèi)存中的內(nèi)容以竊取信息，因此即便是在服務(wù)器的硬盤驅(qū)動器上對數(shù)據(jù)進行加密，結(jié)果也無濟于事。所以，保障數(shù)據(jù)存儲中的安全格外困難。

機密計算就是針對數(shù)據(jù)在使用過程中的安全問題所提出的一種解決方案。它是一種基于硬件的技術(shù)，將數(shù)據(jù)、特定功能、應(yīng)用程序，同操作系統(tǒng)、系統(tǒng)管理程序或虛擬機管理器以及其他特定進程隔離開來，讓數(shù)據(jù)存儲在受信任的執(zhí)行環(huán)境（TEE）中，即使是使用調(diào)試器，也無法從外部查看數(shù)據(jù)或者執(zhí)行操作。TEE確保只有經(jīng)過授權(quán)的代碼才能訪問數(shù)據(jù)，如果代碼被篡改，TEE將阻止其繼續(xù)進行操作。

機密計算對云計算的價值是什么？

此前，由于數(shù)據(jù)在使用中的安全問題，許多企業(yè)擔(dān)心其敏感數(shù)據(jù)泄露，因此拒絕將一些敏感的應(yīng)用程序遷移到云中，這在一定程度上阻礙了公共云的發(fā)展。但機密計算的出現(xiàn)，正在試圖掃除這一障礙。

目前，機密計算作為一種解決數(shù)據(jù)安全的新方法在技術(shù)行業(yè)得到發(fā)展。

去年，谷歌、微軟、阿里巴巴和VMware等幾家科技公司加入了機密計算聯(lián)盟（CCC），正其心協(xié)力解決云計算中的數(shù)據(jù)安全。CCC由Linux基金會托管的一個開源社區(qū)，致力于定義和加速機密計算的應(yīng)用。

此外，谷歌云推出的機密虛擬機（VM）作為一款基于機密計算的安全產(chǎn)品，是第一款可以對使用中的數(shù)據(jù)進行加密的工具，具有代表性突破。

Google Cloud安全總經(jīng)理兼副總裁Sunil Potti表示，金融和醫(yī)療保健等領(lǐng)域的公司希望采用云技術(shù)來管理其數(shù)據(jù)工作負載，但是，數(shù)據(jù)隱私或合規(guī)性要求經(jīng)常成為障礙?；跈C密計算的安全工具將簡化這些部門中公司的安全運營，以便他們可以安全地利用云創(chuàng)新。

機密虛擬機如何運作？

根據(jù)谷歌云的介紹，機密虛擬機建立在第二代AMD芯片EPYC處理器上，通過較低的計算能力為客戶加密數(shù)據(jù)以完成機密計算，客戶能夠以加密的方式在谷歌云上運行其工作負載。

谷歌云方面表示，機密虛擬機的安全級別非常高，可以解鎖新的計算方案。這些機密虛擬機與真正用在加密和基于N2D高性能虛擬機相同，都是基于AMD EPYC安全加密虛擬化（SEV），該技術(shù)可以在保持其性能的同時，對虛擬機內(nèi)存進行加密，利用AMD安全處理器生成密鑰，從而鎖定虛擬機內(nèi)存，不僅限制了公司數(shù)據(jù)的訪問，還限制了主機上運行虛擬機的訪問。

此外，機密虛擬機將與谷歌的安全強化型虛擬機結(jié)合，為客戶提供額外的機密影像。這為客戶將工作負載轉(zhuǎn)移到谷歌云上提供了更多的動力支撐。

盡管機密虛擬機的出現(xiàn)可能促使更多的企業(yè)使用云服務(wù)平臺，同樣值得注意的是，機密計算在應(yīng)用方面仍然處于起步階段，是否真的能在實際應(yīng)用中有效保護數(shù)據(jù)安全，還有待進一步觀察。