今天，當(dāng)我們談及大數(shù)據(jù)、人工智能（AI）這些前沿技術(shù)與應(yīng)用創(chuàng)新，采用云化部署似乎已成為Default（缺?。┻x項(xiàng)而非Optional（可選項(xiàng)）。在更多考慮如何讓豐富的云端數(shù)據(jù)有效地為行業(yè)降本增效、推陳出新提供強(qiáng)勁動力的浪潮之中，仍有一個因素不容忽視，這就是云端數(shù)據(jù)隱私防護(hù)。

事實(shí)上，由云服務(wù)帶來的更多數(shù)據(jù)交互、資源共享，也讓系統(tǒng)遭受著愈演愈烈的黑客攻擊。一旦平臺發(fā)生用戶個人隱私泄漏、或是系統(tǒng)被攻破后遭遇APT（高級可持續(xù)威脅）攻擊，那么由此造成的影響顯然難以估量。

針對云端數(shù)據(jù)隱私防護(hù)，業(yè)界也通過軟硬件加密等手段，在過去幾十年中筑起了一道又一道的防護(hù)高墻。但這些方案往往集中在數(shù)據(jù)傳輸和數(shù)據(jù)靜態(tài)存儲領(lǐng)域中，如果數(shù)據(jù)處于使用中時，由于數(shù)據(jù)和應(yīng)用在CPU和內(nèi)存中需要使用明文（未加密的數(shù)據(jù)與應(yīng)用代碼）才能進(jìn)行計(jì)算處理，惡意軟件便可借由窺視、攻擊內(nèi)存中的內(nèi)容來實(shí)施黑客行為。

圖一  三種狀態(tài)下的數(shù)據(jù)保護(hù)??[1]??

當(dāng)云環(huán)境中數(shù)據(jù)傳輸與靜態(tài)存儲的安全墻越筑越高，處于使用態(tài)的數(shù)據(jù)也就更易成為黑客的重點(diǎn)“關(guān)注”對象。如果在這一環(huán)上缺乏有效手段進(jìn)行防護(hù)，數(shù)據(jù)的使用安全就變成了阿喀琉斯之踵。

用金箍棒畫一個圈，可信執(zhí)行環(huán)境里的機(jī)密計(jì)算

近年來，有關(guān)云環(huán)境中的數(shù)據(jù)隱私保護(hù)話題中，機(jī)密計(jì)算（ConfidentialComputing）出現(xiàn)的頻次與日俱增。說到機(jī)密計(jì)算，就不得不先聊一下可信執(zhí)行環(huán)境（TrustExecution Environment，以下簡稱TEE）這個概念。

簡單來說，TEE就是一個能提供一定級別數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性和代碼完整性保證的環(huán)境。這如同孫悟空去化齋前，用金箍棒給師父和八戒沙僧畫的那個圈，在這個圈里，妖魔鬼怪既伸不了手，也不能用法力將師父擄走。

劃好TEE這個保護(hù)圈，師父（敏感數(shù)據(jù)/代碼）只要不瞎聽八戒攛掇走出圈外，就大可太太平平地念經(jīng)修佛（執(zhí)行計(jì)算）。

因此在機(jī)密計(jì)算的設(shè)計(jì)中，通過CPU給敏感數(shù)據(jù)與代碼分配一塊隔離的內(nèi)存（即TEE保護(hù)圈），除非經(jīng)過授權(quán)，任何軟硬件，包括主機(jī)操作系統(tǒng)（Host OS）、虛擬機(jī)監(jiān)控程序 (VMM)、BIOS等，統(tǒng)統(tǒng)都不能訪問這塊內(nèi)存中的數(shù)據(jù)。如此，機(jī)密計(jì)算便能為客戶提供以下三種安全保障：

n  數(shù)據(jù)機(jī)密性：未經(jīng)授權(quán)的實(shí)體無法查看在TEE內(nèi)使用中的數(shù)據(jù)；

n  數(shù)據(jù)完整性：未經(jīng)授權(quán)的實(shí)體不能添加、刪除或更改在TEE內(nèi)使用中的數(shù)據(jù)；

n  代碼完整性：未經(jīng)授權(quán)的實(shí)體不能添加、刪除或更改TEE中執(zhí)行的代碼。

可以看到，借助TEE的保護(hù)，機(jī)密計(jì)算就可以通過多樣化的方案和手段來對云端數(shù)據(jù)安全實(shí)施有效保障，補(bǔ)齊云端數(shù)據(jù)在“傳輸安全”、“存儲安全”之外的那塊“使用安全”短板。

由此得到的可信云服務(wù)，無疑將是云服務(wù)領(lǐng)域的“二級火箭”。

眾所周知，數(shù)據(jù)安全一直是客戶將敏感數(shù)據(jù)和關(guān)鍵業(yè)務(wù)負(fù)載部署到云環(huán)境的顧慮之一。例如在AI、大數(shù)據(jù)分析領(lǐng)域，雖然大家都認(rèn)同借助云服務(wù)的敏捷性和低TCO去聚集更多數(shù)據(jù)，帶來更大、更好的成果。但出于隱私泄露和數(shù)據(jù)風(fēng)險(xiǎn)的考量，許多客戶還是選擇保持觀望，由此造成的“數(shù)據(jù)孤島”現(xiàn)象也令許多AI專家、數(shù)據(jù)科學(xué)家扼腕嘆息。

現(xiàn)在，借助機(jī)密計(jì)算方案，云服務(wù)提供商可將不受信任的組件移出可信計(jì)算基礎(chǔ)（TCB），只將需要的硬件和受保護(hù)的應(yīng)用程序留在可信邊界內(nèi)，這在保持云服務(wù)敏捷性的同時也實(shí)現(xiàn)了對不同場景中敏感型工作負(fù)載的實(shí)時保護(hù)。

而更多新工具、新方法的涌現(xiàn)，也讓客戶在云服務(wù)中部署，或遷移至機(jī)密計(jì)算的過程變得越來越便捷。一些方案甚至能做到幾乎不進(jìn)行更改，就實(shí)現(xiàn)原有應(yīng)用程序的遷移，使機(jī)密計(jì)算的行業(yè)接受度變得越來越高。一些統(tǒng)計(jì)數(shù)據(jù)表明：有88%來自數(shù)據(jù)敏感行業(yè)的受訪者表示將接受機(jī)密計(jì)算??[2]??。

以“飛地”加持機(jī)密計(jì)算，英特爾? SGX成就云端數(shù)據(jù)安全島

機(jī)密計(jì)算對于使用中的云端數(shù)據(jù)能有如此霸氣的保護(hù)，那一定離不開強(qiáng)大的硬件環(huán)境予以輔助。雖然孫悟空與金箍棒只在神話中出現(xiàn)，但在現(xiàn)實(shí)中，英特爾? 軟件防護(hù)擴(kuò)展（英特爾? Software Guard Extensions, 英特爾? SGX）技術(shù)能以其開辟“飛地（Enclave）”的能力達(dá)到同樣的效果，為云端數(shù)據(jù)打造安全可信賴的安全島提供強(qiáng)力支撐。

英特爾? SGX是如何加持機(jī)密計(jì)算，以及在對敏感數(shù)據(jù)和代碼提供增強(qiáng)型安全防護(hù)方面又具備哪些優(yōu)勢特性？

一方面，英特爾? SGX可以在內(nèi)存空間中開辟出一個可信的、受到嚴(yán)密保護(hù)的安全“飛地（Enclave）”。它通過嚴(yán)格的訪問控制和加密操作去保障其中的數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性和代碼完整性，確保即使是主機(jī)操作系統(tǒng)、BIOS等高等級應(yīng)用和底層基礎(chǔ)系統(tǒng)都不能隨意訪問這部分空間。

圖二 英特爾? SGX 提供的安全“飛地”

當(dāng)一些敏感工作負(fù)載需要實(shí)現(xiàn)數(shù)據(jù)“可用不可見”時，英特爾? SGX就能以“飛地”機(jī)制為機(jī)密計(jì)算中的數(shù)據(jù)與代碼提供安全島。即便高等級應(yīng)用、底層基礎(chǔ)系統(tǒng)在惡意攻擊中受損，“飛地”也可通過基于硬件的、增強(qiáng)型的安全防護(hù)來阻斷這些攻擊，避免其中的數(shù)據(jù)或代碼被竊取或篡改。

與此同時，英特爾? SGX也提供了完備的鑒權(quán)能力，能在阻斷攻擊的同時證明自己的運(yùn)行未被篡改。這猶如一套完備可靠的、用于安全島準(zhǔn)入的認(rèn)證流程，讓數(shù)據(jù)、代碼的傳遞及進(jìn)入“飛地”的動作變得更為安全牢靠。

隨著客戶對安全防范要求的提升，英特爾也對SGX技術(shù)進(jìn)行了全面強(qiáng)化。在配置了面向單路和雙路的第三代英特爾? 至強(qiáng)? 可擴(kuò)展處理器的系統(tǒng)中，雙路系統(tǒng)中最高可支持1TB容量的“飛地”空間，更大的空間意味著能容納更多、更大體量的應(yīng)用程序和核心數(shù)據(jù)。當(dāng)云上應(yīng)用火力全開時，可實(shí)現(xiàn)更大數(shù)據(jù)量的機(jī)密計(jì)算無疑更能輕松應(yīng)對數(shù)據(jù)安全挑戰(zhàn)。

實(shí)戰(zhàn)：攜手京東云，英特爾? SGX助力TalkingData構(gòu)建基于TEE的數(shù)據(jù)安全島

如何實(shí)現(xiàn)數(shù)據(jù)價值挖掘最大化？建立大數(shù)據(jù)平臺無疑是重要的方向之一。聯(lián)動多源數(shù)據(jù)，盤活數(shù)據(jù)價值，正成為企業(yè)洞悉消費(fèi)者需求、驅(qū)動業(yè)務(wù)創(chuàng)新的最佳策略之一。

什么是數(shù)據(jù)價值挖掘中的最大隱患？答案也很明確，安全隱患。高自由度的數(shù)據(jù)流通，意味著隨時可能出現(xiàn)數(shù)據(jù)泄露等問題，帶來數(shù)據(jù)資產(chǎn)流失、合規(guī)性遭受質(zhì)疑等風(fēng)險(xiǎn)。

企業(yè)用于數(shù)據(jù)價值挖掘的數(shù)據(jù)，往往是其各類業(yè)務(wù)場景中的關(guān)鍵數(shù)據(jù)，例如營銷數(shù)據(jù)。既要讓這些數(shù)據(jù)價值最大化，又要絕對保證數(shù)據(jù)內(nèi)容不外泄，無疑需要像鋼絲繩上的踢踏舞表演一般，慎之又慎。

事實(shí)上，作為領(lǐng)先的數(shù)據(jù)服務(wù)提供商，TalkingData在為客戶設(shè)計(jì)和構(gòu)建數(shù)據(jù)挖掘解決方案時，最耗費(fèi)心思、也最難以說服客戶的內(nèi)容之一，就是如何充分保證數(shù)據(jù)的安全性。

“營銷場景中數(shù)據(jù)紅利價值發(fā)揮的重要前提就是安全，特別是在個人信息保護(hù)法、數(shù)據(jù)安全法等法律法規(guī)相繼施行的背景下，數(shù)據(jù)安全更是成為事關(guān)企業(yè)數(shù)據(jù)戰(zhàn)略成敗的關(guān)鍵?！眮碜訲alkingData 的數(shù)據(jù)產(chǎn)品專家這樣說道。

為此，TalkingData決定與英特爾和京東云展開合作，利用京東云安全環(huán)境以及英特爾? SGX技術(shù)，打造基于TEE的TalkingData安全島解決方案，來為企業(yè)數(shù)據(jù)價值挖掘打造值得信賴的安全保障。

傳說中，威尼斯人將制鏡工藝壟斷了300多年之久并獲取了巨額的財(cái)富。重要的方法之一是將所有的鏡子工坊搬到了穆拉諾島上，任何外國人都不能靠近。進(jìn)出島嶼的只有密封的原料箱子和已經(jīng)成品裝箱的鏡子。

同樣，如圖三所示，TalkingData安全島解決方案的核心是京東云安全環(huán)境，以及基于英特爾? SGX構(gòu)建的TD安全島（即前文所述的安全“飛地”），來自企業(yè)客戶與TalkingData的數(shù)據(jù)會在經(jīng)過動態(tài)加密后上傳到其中。

在使用這些加密數(shù)據(jù)執(zhí)行三方標(biāo)簽增補(bǔ)、ID-Mapping、TA Scoring 模型、CPO 報(bào)告等核心數(shù)據(jù)挖掘應(yīng)用時，安全島會通過TLS（Transport Layer Security，安全傳輸層協(xié)議）鏈路來傳遞解密秘鑰，所有數(shù)據(jù)的解密及運(yùn)行過程均在安全島上進(jìn)行，數(shù)據(jù)不出硬件環(huán)境，最大限度的保證客戶及各參與方的數(shù)據(jù)安全。

圖三 TalkingData安全島平臺安全交付示意圖

而京東云安全環(huán)境也為方案提供了多重安全機(jī)制，例如遠(yuǎn)程可信安全驗(yàn)證服務(wù)，這一認(rèn)證服務(wù)可用于驗(yàn)證、監(jiān)控、及管理安全島。只有被其認(rèn)證通過，才能登上特定的“獨(dú)木船”去訪問安全島。

現(xiàn)在，這一方案已在多個行業(yè)進(jìn)行了部署實(shí)施，來自客戶的反饋表明，其能夠有效解決數(shù)據(jù)服務(wù)中，數(shù)據(jù)提供方、數(shù)據(jù)需求方、算法方、渠道方等多方的安全顧慮，在安全可信的環(huán)境下實(shí)現(xiàn)數(shù)據(jù)的融合互通。

可以說，集成了京東云安全環(huán)境以及英特爾? SGX的TalkingData 安全島，以其在硬件層面“看得見”的安全性，吸引了更多的企業(yè)和用戶可以放心地將敏感數(shù)據(jù)、關(guān)鍵業(yè)務(wù)部署在云端，享受更多云服務(wù)帶來的優(yōu)勢，從而更大限度發(fā)揮數(shù)據(jù)的價值，有效助力客戶賦能數(shù)據(jù)應(yīng)用的落地和價值產(chǎn)出。

更多云端場景正在引入機(jī)密計(jì)算

事實(shí)上，隨著機(jī)密計(jì)算方案的不斷演進(jìn)，以及英特爾等積極參與方在相關(guān)軟硬件技術(shù)上的持續(xù)推進(jìn)，更多在云端部署具有優(yōu)勢的應(yīng)用正在開展機(jī)密計(jì)算的實(shí)踐與探索，包括區(qū)塊鏈、邊緣云以及物聯(lián)網(wǎng)等。英特爾? SGX、英特爾? TDX等機(jī)密計(jì)算相關(guān)技術(shù)在這些領(lǐng)域的運(yùn)用，正幫助更多云服務(wù)用戶擺脫隨處可見的數(shù)據(jù)孤島，在敏感型工作負(fù)載、數(shù)據(jù)應(yīng)用和數(shù)據(jù)分析上獲得更強(qiáng)的競爭力。

??[1]?? 如欲了解更多詳情，請?jiān)L問：https://www.intel.cn/content/www/cn/zh/cloud-computing/the-critical-need-for-confidential-computing.html

??[2]??  如欲了解更多詳情，請?jiān)L問：https://www.intel.cn/content/www/cn/zh/customer-spotlight/cases/confidential-computing-possibilities-cloud.html