機(jī)密計(jì)算并不是什么新概念，早在2020年，研究機(jī)構(gòu)Gartner就在其年度云安全技術(shù)成熟度曲線中，將機(jī)密計(jì)算列為33種關(guān)鍵安全技術(shù)之一。但是Gartner曾經(jīng)認(rèn)為，機(jī)密計(jì)算需要較長(zhǎng)時(shí)間的理論研究與研發(fā)準(zhǔn)備，距離成熟的商業(yè)市場(chǎng)應(yīng)用，還需要5到10年的時(shí)間。

不過由于行業(yè)對(duì)數(shù)據(jù)安全在使用過程中的保護(hù)需求快速增長(zhǎng)，機(jī)密計(jì)算的應(yīng)用步伐有望大大加快。有研究機(jī)構(gòu)預(yù)測(cè)，機(jī)密計(jì)算技術(shù)在未來1~2年內(nèi)就會(huì)成為安全計(jì)算的標(biāo)準(zhǔn)方法，尤其是在云計(jì)算環(huán)境中。

數(shù)據(jù)保護(hù)技術(shù)的變革

眾所周知，數(shù)據(jù)只有被更多使用，才能發(fā)揮出更大的價(jià)值。但現(xiàn)有的數(shù)據(jù)防護(hù)技術(shù)，更多是針對(duì)數(shù)據(jù)靜態(tài)存儲(chǔ)和傳輸時(shí)的防護(hù)，對(duì)使用中的數(shù)據(jù)卻難以進(jìn)行有效的保護(hù)，因?yàn)閼?yīng)用系統(tǒng)需要明文數(shù)據(jù)(未經(jīng)加密或其他方式保護(hù)的數(shù)據(jù))才能進(jìn)行計(jì)算，這意味著惡意軟件可以在系統(tǒng)內(nèi)存中對(duì)機(jī)密數(shù)據(jù)進(jìn)行竊取。

使用過程中的數(shù)據(jù)所面臨的威脅并非只在理論上存在。以美國(guó)零售商塔吉特(Target)為例，該公司就曾遭到內(nèi)存截取惡意軟件的攻擊，該惡意軟件在數(shù)據(jù)處理時(shí)從POS系統(tǒng)的內(nèi)存中竊取信用卡信息，整個(gè)過程如同刷卡操作一樣簡(jiǎn)單。

機(jī)密計(jì)算的另一個(gè)應(yīng)用需求是云計(jì)算環(huán)境中的數(shù)據(jù)隱私保護(hù)。經(jīng)過十多年的發(fā)展，云計(jì)算服務(wù)已經(jīng)非常普遍，但很多企業(yè)的管理者對(duì)于將隱私業(yè)務(wù)數(shù)據(jù)交給第三方云服務(wù)提供商的系統(tǒng)來保管依然不放心。數(shù)據(jù)隱私性和機(jī)密性仍是當(dāng)前主要的云安全問題。

云上業(yè)務(wù)系統(tǒng)面臨的一個(gè)嚴(yán)重?cái)?shù)據(jù)安全隱患在于，要想充分利用分析、索引、協(xié)作工具以及內(nèi)容共享等云服務(wù)，就需要對(duì)數(shù)據(jù)進(jìn)行解密以便處理。但是這種解密恰恰違背了數(shù)據(jù)安全防護(hù)的基本原則：始終保護(hù)敏感數(shù)據(jù)資產(chǎn)免受未經(jīng)授權(quán)的任何人的訪問。

應(yīng)用價(jià)值不斷增長(zhǎng)

機(jī)密計(jì)算是一種技術(shù)上的根本性變化，它可以保證敏感數(shù)據(jù)在內(nèi)存中處理時(shí)也處于加密狀態(tài)，而不是以明文的方式使用。機(jī)密計(jì)算在基于硬件的可信執(zhí)行環(huán)境(TEE)中執(zhí)行計(jì)算，從而保護(hù)使用中數(shù)據(jù)。這項(xiàng)技術(shù)的原理是，在處理過程中將敏感數(shù)據(jù)隔離在安全的CPU內(nèi)存空間(enclave)中，以便云供應(yīng)商或其他任何第三方看不到這些數(shù)據(jù)。通過在硬件最低層提供安全，機(jī)密計(jì)算可以確保數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性和代碼完整性。這些技術(shù)特性意味著企業(yè)中的敏感數(shù)據(jù)在使用過程中可以最大程度的不再暴露在其他應(yīng)用程序、虛擬機(jī)管理程序、操作系統(tǒng)或云服務(wù)提供商的面前。

企業(yè)有望從機(jī)密計(jì)算獲得的價(jià)值主要包括：

(1) 更有力地保護(hù)知識(shí)產(chǎn)權(quán)和敏感數(shù)據(jù)

機(jī)密計(jì)算加強(qiáng)了保護(hù)組織最敏感數(shù)據(jù)資產(chǎn)的力度。知識(shí)產(chǎn)權(quán)、商業(yè)機(jī)密、合同和個(gè)人消費(fèi)者/用戶數(shù)據(jù)在處理過程中都受到了保護(hù)，防范未經(jīng)授權(quán)的訪問。這種加強(qiáng)保護(hù)敏感數(shù)據(jù)的做法可以帶來企業(yè)聲譽(yù)和競(jìng)爭(zhēng)力方面的優(yōu)勢(shì)。

(2) 改善數(shù)據(jù)監(jiān)管合規(guī)

越來越多的數(shù)據(jù)隱私法規(guī)致力于在敏感數(shù)據(jù)泄露后保護(hù)消費(fèi)者，如果企業(yè)想避免數(shù)據(jù)泄露，有必要兼顧以上這三種數(shù)據(jù)狀態(tài)的所有潛在攻擊面，而不是只關(guān)注靜態(tài)數(shù)據(jù)或傳輸中數(shù)據(jù)。機(jī)密計(jì)算能夠幫助企業(yè)改善合規(guī)工作，尤其在使用云計(jì)算基礎(chǔ)設(shè)施時(shí)。

(3) 充分利用云功能

一些企業(yè)為了優(yōu)先考慮安全性，限制了對(duì)云服務(wù)的更多使用，因?yàn)檫@些云應(yīng)用程序需要加密才能正常運(yùn)行。機(jī)密計(jì)算在云端提供了所需級(jí)別的數(shù)據(jù)機(jī)密性，同時(shí)讓組織仍可以充分利用云功能，比如大數(shù)據(jù)處理、高級(jí)分析或運(yùn)行云原生應(yīng)用程序等。

(4) 更好地協(xié)作創(chuàng)新

數(shù)據(jù)孤島常成為通過相互協(xié)作的多方計(jì)算進(jìn)行創(chuàng)新的障礙。分布式云計(jì)算能力促進(jìn)了多個(gè)企業(yè)組織之間數(shù)據(jù)共享和分析，但企業(yè)組織在對(duì)敏感信息進(jìn)行防護(hù)需求時(shí)所采用的防止惡意第三方進(jìn)行非法訪問的防護(hù)手段阻礙了這一技術(shù)的發(fā)展。通過借助機(jī)密計(jì)算，讓更多企業(yè)組織可以更安全地進(jìn)行數(shù)據(jù)共享使用，不必?fù)?dān)心數(shù)據(jù)在使用時(shí)發(fā)生泄露。這方面有廣闊的實(shí)際應(yīng)用場(chǎng)景，如金融機(jī)構(gòu)共享數(shù)據(jù)以檢測(cè)欺詐，醫(yī)療機(jī)構(gòu)結(jié)合醫(yī)療數(shù)據(jù)改善診斷，開發(fā)新的疾病治療方案等。

商業(yè)應(yīng)用步伐不斷加快

在企業(yè)應(yīng)用需求和技術(shù)應(yīng)用價(jià)值的雙重推動(dòng)下，機(jī)密計(jì)算概念的市場(chǎng)發(fā)展比預(yù)期要快很多。作為一項(xiàng)前瞻性技術(shù)，目前許多科技巨頭紛紛入局，大力探索和開發(fā)機(jī)密計(jì)算。

阿里云是較早推出機(jī)密計(jì)算的大型公有云服務(wù)商，已在全球范圍內(nèi)將機(jī)密計(jì)算商業(yè)化，其云上用戶目前可以通過機(jī)密計(jì)算技術(shù)來實(shí)現(xiàn)更高等級(jí)數(shù)據(jù)保護(hù)能力。

在微軟的云服務(wù)中，也包含了一項(xiàng)名為Azure機(jī)密計(jì)算的安全功能，以確保數(shù)據(jù)在處理時(shí)能得到更多的控制。

在Google Cloud Next 2020大會(huì)上，谷歌云(Google Cloud)推出了一款“可保密虛擬機(jī)”(Confidential VMs)。這種新型的虛擬機(jī)可以利用谷歌的加密計(jì)算，實(shí)現(xiàn)對(duì)靜止?fàn)顟B(tài)和內(nèi)存數(shù)據(jù)的保密。在后端，機(jī)密虛擬機(jī)使用了基于AMD二代霄龍?zhí)幚砥?EPYC)的安全加密虛擬化技術(shù)，密鑰由CPU可信執(zhí)行環(huán)境生成且無法導(dǎo)出，即便是谷歌自身也無法得知密鑰。

由于機(jī)密計(jì)算的應(yīng)用前景已經(jīng)明朗，其產(chǎn)業(yè)生態(tài)也在不斷完善。包括阿里巴巴、華為、AMD、微軟、甲骨文、Google等科技巨頭公司在內(nèi)的企業(yè)，已在Linux基金會(huì)下啟動(dòng)成立了機(jī)密計(jì)算技術(shù)應(yīng)用聯(lián)盟，旨在進(jìn)一步加快技術(shù)應(yīng)用標(biāo)準(zhǔn)的定義和開源工具的開發(fā)。

隨著機(jī)密計(jì)算的應(yīng)用加速，企業(yè)組織現(xiàn)階段已經(jīng)能夠得益于這項(xiàng)技術(shù)的應(yīng)用。研究機(jī)構(gòu)建議企業(yè)應(yīng)盡快探索機(jī)密計(jì)算技術(shù)的使用，特別是對(duì)于在云環(huán)境上部署應(yīng)用系統(tǒng)和數(shù)據(jù)的企業(yè)。雖然目前機(jī)密計(jì)算在產(chǎn)品功能方面尚不完善，但基于現(xiàn)有技術(shù)的部署已經(jīng)可以將數(shù)據(jù)安全性在原有基礎(chǔ)上向前推進(jìn)一大步。

雖然機(jī)密計(jì)算有望在敏感數(shù)據(jù)安全領(lǐng)域帶來一場(chǎng)革命，但是研究人員同時(shí)也提醒企業(yè)，不能忽視大多數(shù)攻擊和數(shù)據(jù)竊取仍然通過終端漏洞來實(shí)現(xiàn)，企業(yè)還是需要持續(xù)監(jiān)控和實(shí)時(shí)保護(hù)好終端設(shè)備的安全。

參考鏈接：https://securityboulevard.com/2022/05/confidential-computing-a-revolution-in-sensitive-data-security/