內(nèi)存的安全功能并不是新鮮事，但是由大流行性促使的遠(yuǎn)程辦公加重了連接性，這意味著保護(hù)數(shù)據(jù)更加關(guān)鍵，甚至更具挑戰(zhàn)性。在跨5G等通信基礎(chǔ)設(shè)施共享數(shù)據(jù)的新興用例中，安全挑戰(zhàn)更加嚴(yán)峻。

同時(shí)，啟用安全性增加了內(nèi)存設(shè)計(jì)的復(fù)雜性。

甚至在邊緣計(jì)算、物聯(lián)網(wǎng)和車聯(lián)網(wǎng)的爆炸式增長之前，內(nèi)存中的安全功能也在激增。電可擦可編程只讀存儲器(EEPROM)被信用卡、SIM卡和無鑰匙進(jìn)入系統(tǒng)所青睞，基于閃存的固態(tài)硬盤多年來一直包含加密功能。

內(nèi)存技術(shù)的進(jìn)步反映了數(shù)據(jù)爆炸和處理過程要移近數(shù)據(jù)的需求。內(nèi)存和存儲技術(shù)是并行的，更多的工作負(fù)載在內(nèi)存中被處理。我們將在即將到來的內(nèi)存技術(shù)中探討技術(shù)的變化曲線。

如今，安全性已經(jīng)嵌入內(nèi)存和網(wǎng)絡(luò)設(shè)備中，這些設(shè)備分布在整個(gè)計(jì)算系統(tǒng)和網(wǎng)絡(luò)環(huán)境中。但是這些基于內(nèi)存的安全能力仍然必須考慮人為錯(cuò)誤。信息安全專業(yè)人員必須處理用戶打開虛假附件或路由器配置錯(cuò)誤的后果。

類似地，安全內(nèi)存功能的好處將不會完全實(shí)現(xiàn)，除非正確配置，并在一個(gè)系統(tǒng)(也包括軟件)之間協(xié)調(diào)一致。但現(xiàn)在看來，雙SoC安全操作中心和片上系統(tǒng)正在融合。

Rambus等公司提供的產(chǎn)品旨在確保每個(gè)連接的安全，以應(yīng)對云計(jì)算和邊緣計(jì)算中不斷增加的服務(wù)器連接帶寬要求。與此同時(shí)，為反映每一個(gè)系統(tǒng)連接的必然性-黑客篡改閃存設(shè)備的內(nèi)容，英飛凌科技公司已經(jīng)擴(kuò)展了賽普拉斯Semper閃存。

這種篡改可能會影響到許多不同的計(jì)算平臺，包括自動駕駛汽車，它本質(zhì)上是一個(gè)“在輪子上的服務(wù)器”。加上5G網(wǎng)絡(luò)增強(qiáng)了工業(yè)、醫(yī)療和物聯(lián)網(wǎng)場景。安全性不僅需要集成，而且還需要在許多不同設(shè)備的生命周期內(nèi)進(jìn)行管理，其中一些設(shè)備使用嵌入式內(nèi)存可能會持續(xù)10年。對于黑客來說，內(nèi)存密集型應(yīng)用仍然是很具吸引力的。

分析人士Thomas Coughlin表示，加密密鑰管理對于確保系統(tǒng)的安全仍然至關(guān)重要。隨著非易失性存儲器技術(shù)的發(fā)展，嵌入式系統(tǒng)的安全性變得越來越重要。這是因?yàn)榧词乖O(shè)備斷電，數(shù)據(jù)也會持續(xù)存在。

這里的挑戰(zhàn)不在于增加安全功能。例如，SSD上的數(shù)據(jù)可以加密。“比較大的問題是用戶使用這些功能是否容易，因?yàn)橥ǔＷ畋∪醯沫h(huán)節(jié)就是人。”

智能手機(jī)充當(dāng)了身份驗(yàn)證，生物識別取代了傳統(tǒng)密碼。這種情況留下了未加密數(shù)據(jù)意外暴露的可能性。Coughlin表示，危險(xiǎn)在于執(zhí)行的缺陷或復(fù)雜性。“讓安全變得容易是關(guān)鍵，而這不僅僅是加密數(shù)據(jù)并將其放入硬件那么簡單。”

SSD和內(nèi)存供應(yīng)商Virtium的營銷副總裁Scott Phillips表示，加密SSD只能做到這些。而我們需要一種多層的管理方法。雖然像Trusted Computing Group的Opal規(guī)范這樣的存儲規(guī)范可以達(dá)到BIOS級別，啟動前可進(jìn)行身份驗(yàn)證，但配置和集中管理對于防止黑客入侵至關(guān)重要。

“即便是大公司，也無法提供大量全面、復(fù)雜的安全保障。”

隨著5G升級，人們正在努力實(shí)現(xiàn)數(shù)據(jù)路徑保護(hù)，保護(hù)數(shù)據(jù)中心，但實(shí)現(xiàn)基于硬件的安全仍面臨挑戰(zhàn)。

集成需求

在工業(yè)市場，需要不同系統(tǒng)的整合。Phillips表示， 亞馬遜的AWS和微軟Azure等超大型企業(yè)也在促進(jìn)數(shù)據(jù)安全。然而，這些防御必須一直實(shí)現(xiàn)到最終用戶。

盡管有越來越多的標(biāo)準(zhǔn)和要求，但安全方法的兼容性問題仍然存在。供應(yīng)商仍試圖將自己定位為安全產(chǎn)品和服務(wù)的領(lǐng)導(dǎo)者。

“黑客總是領(lǐng)先一步，他們知道所有小漏洞。這些是他們要檢查的東西。這需要一個(gè)非常集中、細(xì)致的IT人員或部門來檢查并堵住所有這些漏洞。”

將安全性嵌入存儲設(shè)備而不是將其栓在存儲設(shè)備上的想法與軟件方法并無不同。“DevSecOps” 是為了安全和隱私應(yīng)用程序開發(fā)過程的一部分。

但我們知道，使用中的數(shù)據(jù)是數(shù)據(jù)加密領(lǐng)域的一個(gè)弱點(diǎn)。加密靜態(tài)數(shù)據(jù)和加密傳輸中的數(shù)據(jù)，這個(gè)流程已經(jīng)存在整個(gè)科技行業(yè)得到廣泛實(shí)施，但企業(yè)在處理信息時(shí)沒有任何可靠的方法來保護(hù)信息，這就是機(jī)密計(jì)算聯(lián)盟希望解決的問題。

有一種被稱為“機(jī)密計(jì)算”的新興框架由此誕生，“機(jī)密計(jì)算”一詞是由微軟創(chuàng)造，微軟也是該聯(lián)盟的主要支持者和創(chuàng)始成員之一，其他成員還包括阿里巴巴、Arm、百度、谷歌云、IBM、英特爾、紅帽和騰訊。旨在通過在基于硬件的可信執(zhí)行環(huán)境(TEE)中隔離計(jì)算來保護(hù)使用中的數(shù)據(jù)。在處理數(shù)據(jù)時(shí)，數(shù)據(jù)在內(nèi)存中加密，在CPU之外的其他地方加密。

這些科技公司寄希望于一個(gè)名為Open Enclave Software Development Kit的開源框架，該框架最初是由微軟開發(fā)的，用于構(gòu)建可以運(yùn)行在多種類型計(jì)算機(jī)體系結(jié)構(gòu)上的所謂“可信執(zhí)行環(huán)境應(yīng)用”。

英特爾SGX允許創(chuàng)建受信任的執(zhí)行環(huán)境，這是主處理器的一個(gè)安全區(qū)域，它可以保證加載在其中的代碼和數(shù)據(jù)，并在保密性和完整性方面受到保護(hù)。

機(jī)密計(jì)算已被軟件和硬件廠商推廣，包括谷歌，它最近宣布了將其應(yīng)用于容器工作負(fù)載的功能，英特爾還通過其Intel software Guard擴(kuò)展為微軟Azure等云提供商提供一個(gè)可信的空間(TEE)。通俗的講就是把你的數(shù)據(jù)單獨(dú)放在一個(gè)安全的環(huán)境里執(zhí)行操作，普通操作系統(tǒng)和應(yīng)用程序無法直接訪問 TEE 的硬件和軟件資源。

機(jī)密計(jì)算需要共享安全責(zé)任。英特爾產(chǎn)品保證和安全架構(gòu)高級首席工程師Simon Johnson表示，人仍然是最薄弱的環(huán)節(jié)。

英特爾支持開發(fā)者執(zhí)行代碼來保護(hù)數(shù)據(jù)。與此同時(shí)，機(jī)密計(jì)算運(yùn)動源于企業(yè)要求處理數(shù)據(jù)而不考慮來源，包括敏感的醫(yī)療保健信息、財(cái)務(wù)記錄和知識產(chǎn)權(quán)。

平臺提供商應(yīng)該不能看到數(shù)據(jù)。“讓盡可能多的人遠(yuǎn)離你的東西。”

英特爾SGX包括基于硬件的內(nèi)存加密，隔離特定的應(yīng)用程序代碼和內(nèi)存中的數(shù)據(jù)。它允許用戶級代碼分配私有內(nèi)存“enclave”，目的是在與在更高特權(quán)級別上運(yùn)行的進(jìn)程隔離。

據(jù)悉Open Enclave仍處于開發(fā)階段，但由于可信執(zhí)行環(huán)境已經(jīng)被普遍采用，因此相信進(jìn)展會相當(dāng)快?？尚艌?zhí)行環(huán)境指的是計(jì)算機(jī)芯片上的一個(gè)安全區(qū)域，用于加密芯片上加載的數(shù)據(jù)和代碼，使處理器的其他部分無法訪問這些數(shù)據(jù)。換句話說，可信執(zhí)行環(huán)境提供了一個(gè)隔離的執(zhí)行環(huán)境來保護(hù)正在使用中的數(shù)據(jù)，Open Enclave SDK則是利用這個(gè)環(huán)境開發(fā)應(yīng)用的一個(gè)通用框架。

英特爾框架還被設(shè)計(jì)用于幫助防止基于軟件的攻擊，即使操作系統(tǒng)、驅(qū)動程序、BIOS或虛擬機(jī)管理器受到威脅，英特爾框架也會有所措施。

機(jī)密計(jì)算將支持在用戶不擁有的大型數(shù)據(jù)集上進(jìn)行分析負(fù)載等工作。它還允許在更接近工作負(fù)載的地方執(zhí)行加密密鑰，從而提高了延遲。“今天，我們只用軟件來提供保護(hù)，”“在這種環(huán)境下，我們沒有硬件保護(hù)措施。”

Johnson表示，“機(jī)密計(jì)算”將通過硬件和軟件生態(tài)系統(tǒng)保護(hù)數(shù)據(jù)或代碼的處理，該系統(tǒng)由保密計(jì)機(jī)密計(jì)算聯(lián)盟授權(quán)。

Virtium的Phillips指出，易用性會增強(qiáng)安全性。Push-button記憶加密是其最終的目標(biāo)，“而全面的安全將來自于額外功能。”

這個(gè)想法不僅是為了加密內(nèi)存，也是為了確保完全的數(shù)據(jù)隔離，以確保一個(gè)安全的環(huán)境。“機(jī)密計(jì)算代表的不僅僅是加密內(nèi)存。”

它還關(guān)乎適應(yīng)一個(gè)異質(zhì)世界。“在使用數(shù)據(jù)時(shí)，你必須提供一層訪問控制，并能夠證明你在使用軟件，數(shù)據(jù)在某個(gè)特定區(qū)域。”