在海邊休假的劉博士，出發(fā)沖浪前用手機(jī)瀏覽了實(shí)驗(yàn)室中運(yùn)行的測(cè)試，確認(rèn)一切正常，安心地打了個(gè)“響指”拿起帆板。英國測(cè)試團(tuán)隊(duì)的Lily，下午收到印度開發(fā)團(tuán)隊(duì)提交的新功能，熟練地遠(yuǎn)程登錄系統(tǒng)，一鍵啟動(dòng)自動(dòng)化測(cè)試。

今天，從軟件開發(fā)、協(xié)作醫(yī)療，到智能制造、智慧金融，與人工智能（AI）、大數(shù)據(jù)、物聯(lián)網(wǎng)以及邊緣計(jì)算等前沿技術(shù)相互融合的云服務(wù)，正讓自由流動(dòng)的數(shù)據(jù)呈現(xiàn)出無與倫比的價(jià)值，讓我們這個(gè)世界變得更為快捷且美好。

然而，數(shù)據(jù)價(jià)值越豐富，其受到的“覬覦”也就越多。翻開各種媒體報(bào)道我們就可以發(fā)現(xiàn)，近年來云端數(shù)據(jù)所受到的攻擊，包括數(shù)據(jù)竊取、代碼篡改等等層出不窮。這不僅威脅著各行業(yè)中云服務(wù)應(yīng)用的使用安全，進(jìn)一步地，也在造成形形色色的數(shù)據(jù)壁壘，讓數(shù)據(jù)失去其應(yīng)有的產(chǎn)業(yè)生態(tài)價(jià)值。

雖然數(shù)據(jù)安全專家已通過各種安全傳輸（例如安全傳輸層協(xié)議）和安全存儲(chǔ)（例如非對(duì)稱加密）等技術(shù)來保障傳輸、存儲(chǔ)狀態(tài)下的數(shù)據(jù)安全，但這些加密方案卻無法覆蓋使用狀態(tài)下的數(shù)據(jù)。這是因?yàn)?，?dāng)數(shù)據(jù)（包括處理數(shù)據(jù)的代碼）在執(zhí)行時(shí)，CPU與內(nèi)存需要使用明文（未加密的數(shù)據(jù)與應(yīng)用代碼）才能進(jìn)行計(jì)算處理，這就給惡意者以可趁之機(jī)，通過攻擊內(nèi)存中的內(nèi)容來實(shí)施攻擊行為。

圖一 三種狀態(tài)下的數(shù)據(jù)保護(hù)??[1]??

隨著云端協(xié)作愈發(fā)廣泛與頻繁，這一安全威脅也正成為云服務(wù)在更多領(lǐng)域?qū)崿F(xiàn)商業(yè)化落地的阻礙，尤其是在金融、醫(yī)療等受到嚴(yán)格數(shù)據(jù)監(jiān)管的行業(yè)，對(duì)數(shù)據(jù)泄露的擔(dān)憂，更讓云服務(wù)的使用舉步維艱。

“軟”的不行，那就來“硬”的？看硬件級(jí)的機(jī)密計(jì)算如何保障云數(shù)據(jù)安全

既然數(shù)據(jù)與代碼在使用狀態(tài)下，很難使用加密等“軟”方法來實(shí)現(xiàn)安全措施，那么我們是否可以換一個(gè)思路，“軟”的不行，那就來“硬”的？

業(yè)界的技術(shù)發(fā)展路線告訴我們，這個(gè)想法很靠譜。

現(xiàn)在，基于硬件可信執(zhí)行環(huán)境（Trust Execution Environment，以下簡(jiǎn)稱TEE）的機(jī)密計(jì)算（Confidential Computing）技術(shù)，正為上述數(shù)據(jù)使用狀態(tài)下的安全隱患帶來有效對(duì)策。

正如字面含義所體現(xiàn)的，TEE可以提供一定級(jí)別的，保證數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性和代碼完整性的環(huán)境，未經(jīng)授權(quán)的實(shí)體無法查看、添加、刪除或更改在TEE內(nèi)使用中的數(shù)據(jù)或代碼。而在具體的技術(shù)實(shí)現(xiàn)上，TEE會(huì)通過CPU，在內(nèi)存中給敏感數(shù)據(jù)與代碼分配一塊隔離的內(nèi)存，除非經(jīng)過授權(quán)，任何軟硬件，包括主機(jī)操作系統(tǒng)（Host OS）、虛擬機(jī)監(jiān)控程序 (VMM)、BIOS等統(tǒng)統(tǒng)不能訪問。

圖二 在可信邊界內(nèi)為敏感數(shù)據(jù)與代碼提供保護(hù)

有了TEE的保護(hù)，機(jī)密計(jì)算就可以在云環(huán)境中劃出一條可信邊界，受保護(hù)的敏感數(shù)據(jù)與代碼留在可信邊界內(nèi)，而其它不受信任的組件、數(shù)據(jù)等則留在邊界外。這種設(shè)計(jì)帶來的優(yōu)勢(shì)顯而易見。首先，只有經(jīng)過授權(quán)并獲得密鑰的應(yīng)用才能訪問數(shù)據(jù)或代碼，而其它組件是無法穿越可信邊界去觸達(dá)到數(shù)據(jù)或代碼，這滿足了對(duì)云端數(shù)據(jù)“可用不可見”的安全要求。其次，基于硬件的安全區(qū)域設(shè)置，也保證了可由CPU來實(shí)現(xiàn)敏感數(shù)據(jù)與代碼對(duì)外界的“強(qiáng)隔離”。

更重要的是，機(jī)密計(jì)算在為敏感型工作負(fù)載提供實(shí)時(shí)保護(hù)、確保云端數(shù)據(jù)安全性的同時(shí)，并沒有犧牲云服務(wù)的敏捷性。

在以往的云服務(wù)方案中，用戶可能會(huì)戰(zhàn)戰(zhàn)兢兢地設(shè)計(jì)出復(fù)雜的系統(tǒng)架構(gòu)來保證數(shù)據(jù)安全，例如將受到嚴(yán)格保護(hù)的本地系統(tǒng)與云上服務(wù)對(duì)接。這樣做的后果之一是，當(dāng)應(yīng)用場(chǎng)景發(fā)生變化時(shí)，云服務(wù)的更新也會(huì)超級(jí)繁瑣。

而在硬件中劃出安全邊界的模式，顯然就不存在這樣的麻煩。只需要選擇支持TEE的硬件產(chǎn)品（例如內(nèi)置英特爾? SGX的第三代英特爾? 至強(qiáng)? 可擴(kuò)展處理器）就可以在云環(huán)境中方便地部署機(jī)密計(jì)算方案。

圖三 處于上升期的機(jī)密計(jì)算技術(shù)（圖中保密計(jì)算即機(jī)密計(jì)算）

這些優(yōu)勢(shì)，也促使國際權(quán)威獨(dú)立研究機(jī)構(gòu)Gartner 將機(jī)密計(jì)算列為其 2021年云安全成熟度曲線上的29種技術(shù)之一。一項(xiàng)Gartner的觀點(diǎn)表示，“哪怕對(duì)于最不情愿采用云的組織而言，現(xiàn)在也有機(jī)密計(jì)算等一些技術(shù)可以解決老大難問題。您不用擔(dān)心是不是可以信任云提供商。”??[2]??

如今，機(jī)密計(jì)算已被廣泛應(yīng)用在密鑰/憑證/令牌的安全存儲(chǔ)與處理、公有云場(chǎng)景、區(qū)塊鏈，以及邊緣云與物聯(lián)網(wǎng)場(chǎng)景中，保護(hù)企業(yè)和最終用戶的敏感數(shù)據(jù)和代碼，免受數(shù)據(jù)執(zhí)行期間的安全威脅。

實(shí)現(xiàn)TEE的優(yōu)選方案，英特爾? SGX用“飛地”為敏感數(shù)據(jù)保駕護(hù)航

現(xiàn)在讓我們?cè)賮碚勔徽凾EE的具體實(shí)現(xiàn)。目前，由英特爾推出的英特爾? SGX（英特爾? Software Guard Extensions，英特爾? 軟件防護(hù)擴(kuò)展）和英特爾? TDX（英特爾? Trust Domain Extensions，英特爾? 信任域擴(kuò)展）無疑是業(yè)界在機(jī)密計(jì)算方案上的重要抓手。英特爾? TDX可將虛擬機(jī)（VM）和平臺(tái)上的虛擬機(jī)管理程序（VMM）與任何其他非信任域Trust Domain (TD) 的軟件隔離，以保護(hù)TD、VM免受軟件安全威脅。而由英特爾? SGX提出的“飛地（Enclave）”設(shè)計(jì)，幾乎能夠被視為TEE的代名詞。

事實(shí)上，英特爾? SGX的確有足夠驕傲的理由來扮演這個(gè)角色——對(duì)敏感數(shù)據(jù)和代碼提供的增強(qiáng)型安全防護(hù)。

基于第三代英特爾? 至強(qiáng)?可擴(kuò)展處理器提供的支持，英特爾? SGX能在內(nèi)存空間中開辟出一個(gè)可信的、受到嚴(yán)密保護(hù)的安全“飛地”去保障其中的數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性和代碼完整性，即便是主機(jī)操作系統(tǒng)、BIOS等高等級(jí)應(yīng)用和底層基礎(chǔ)系統(tǒng)都不能隨意訪問。

圖四 英特爾? SGX 提供的安全“飛地”

借助完備的加密和鑒權(quán)能力，英特爾? SGX能確保只有經(jīng)過授權(quán)的應(yīng)用才能訪問“飛地”中的數(shù)據(jù)與代碼。而在此之外，即便高等級(jí)應(yīng)用、底層基礎(chǔ)系統(tǒng)在惡意攻擊中受損，“飛地”也可通過基于硬件的、增強(qiáng)型的安全防護(hù)來阻斷這些攻擊，避免其中的數(shù)據(jù)或代碼被竊取或篡改。

在新一代的CPU產(chǎn)品中，英特爾也對(duì)SGX技術(shù)進(jìn)行了全面強(qiáng)化。例如，目前在雙路系統(tǒng)中最高可支持1TB容量的“飛地”空間（配置了面向單路和雙路的第三代英特爾? 至強(qiáng)? 可擴(kuò)展處理器的系統(tǒng)）?！帮w地”空間越大，其能承載和提供保護(hù)的應(yīng)用程序和核心數(shù)據(jù)也就越多，由此用戶能夠開展的云上協(xié)作也可以變得更為豐富多樣。

英特爾? SGX助力Azure，為敏感行業(yè)客戶打造高安全性數(shù)據(jù)共享模式??[3]??

作為全球領(lǐng)先的云服務(wù)提供商，Azure為用戶提供云上機(jī)密計(jì)算方案的歷史由來已久。在Azure看來，由云服務(wù)帶來的數(shù)據(jù)共享價(jià)值，正使越來越多的行業(yè)從中收益。而要讓用戶的利益最大化、風(fēng)險(xiǎn)最小化，那么首先就要保證云端數(shù)據(jù)的安全性。

這對(duì)于那些嚴(yán)格受到監(jiān)督的行業(yè)而言，尤為重要。傳統(tǒng)上，金融、醫(yī)療這些行業(yè)在部署使用云服務(wù)時(shí)本來就慎之又慎，而對(duì)核心業(yè)務(wù)、關(guān)鍵數(shù)據(jù)的“上云”，更是不敢越雷池半步。但與此同時(shí)，那些基于區(qū)塊鏈、AI等技術(shù)構(gòu)建的新業(yè)務(wù)、新場(chǎng)景，又對(duì)數(shù)據(jù)共享提出了迫切的需求。

為此，Azure正與英特爾一起，利用英特爾? SGX及云基礎(chǔ)設(shè)施來打造有效的云上機(jī)密計(jì)算方案。這兩者產(chǎn)生的互補(bǔ)效應(yīng)顯而易見，英特爾?SGX提供基于TEE的安全保護(hù)，Azure云服務(wù)提供部署的便捷性和易擴(kuò)展性，面向開發(fā)者的Open Enclave SDK或英特爾軟件防護(hù)擴(kuò)展的英特爾?SDK幫助Azure機(jī)密計(jì)算構(gòu)建平臺(tái)，“組合拳”下能讓不同行業(yè)的用戶方便地獲得安全且高效的數(shù)據(jù)共享模式，使企業(yè)能夠簡(jiǎn)化其保密計(jì)算應(yīng)用的開發(fā)和管理。

下面讓我們看看實(shí)戰(zhàn)效果如何？

某金融企業(yè)一直致力于通過手機(jī)短信應(yīng)用程序，為用戶提供快速、易于使用的加密貨幣支付方式。既然是加密支付，那用戶自然不希望交易數(shù)據(jù)有半點(diǎn)泄露的風(fēng)險(xiǎn)，甚至Azure提供的云服務(wù)本身，也不能染指。

那么這其中的難點(diǎn)就在于，如何讓交易數(shù)據(jù)不可見的同時(shí)，完成對(duì)交易本身的驗(yàn)證？

為此，Azure提供的機(jī)密計(jì)算方案給出了巧妙的設(shè)計(jì)。首先，英特爾? SGX為交易創(chuàng)建了一個(gè)基于內(nèi)存的TEE，任何TEE外的未授權(quán)實(shí)體都不能訪問或者修改其中的數(shù)據(jù)。其次，TEE中交易的過程是由“不可見”的區(qū)塊鏈來完成，這有兩層含義。第一，簽名者對(duì)其所簽署的消息是不可見的。第二，簽名消息不可追蹤。

可以看到，這兩種設(shè)計(jì)的組合，既能保護(hù)交易數(shù)據(jù)的隱秘性，也使交易在云服務(wù)中能獲得高效驗(yàn)證。

我們?cè)賮砜纯瘁t(yī)療行業(yè)的情況。為幫助醫(yī)療機(jī)構(gòu)借助X光片來快速了解病患是否面臨生命危險(xiǎn)，科研人員希望通過AI算法來對(duì)大量X光片數(shù)據(jù)開展訓(xùn)練，并形成高效的X光片閱片及危險(xiǎn)識(shí)別模型。

眾所周知，臨床數(shù)據(jù)是極為重要的隱私數(shù)據(jù)。為此，某研究機(jī)構(gòu)正計(jì)劃基于Azure云服務(wù)來構(gòu)建一個(gè)具有“零信任”環(huán)境的醫(yī)療保健平臺(tái)。在這里，英特爾? SGX將與Azure提供的云基礎(chǔ)設(shè)施（例如Azure Kubernetes服務(wù)，以及專門的數(shù)據(jù)和工作流）一起，來確保算法對(duì)醫(yī)療數(shù)據(jù)的使用是“可用而不可見”的狀態(tài)。

機(jī)密計(jì)算與云服務(wù)，推動(dòng)更深入的數(shù)據(jù)洞察

云服務(wù)在部署靈活性、敏捷性上的優(yōu)勢(shì)，正使其在更多場(chǎng)景中承擔(dān)起連接數(shù)據(jù)、應(yīng)用和業(yè)務(wù)價(jià)值的重?fù)?dān)。尤其在邊緣數(shù)據(jù)愈發(fā)充沛的今天，云服務(wù)所提供的有效連接，正讓數(shù)據(jù)的采集、匯總、處理和分發(fā)變得高效且經(jīng)濟(jì)。

但出于對(duì)數(shù)據(jù)保護(hù)、安全隱私和監(jiān)管合規(guī)的要求，云端數(shù)據(jù)的安全性挑戰(zhàn)也與日俱增。借助英特爾? SGX、英特爾? TDX等機(jī)密計(jì)算相關(guān)技術(shù)的發(fā)展與部署，云數(shù)據(jù)安全專家正為這些安全問題提供有效的解決之道。兩者的結(jié)合，無疑將為更多行業(yè)用戶提供更廣泛的數(shù)據(jù)分析和更深入的數(shù)據(jù)洞察。

??[1]?? 圖片來源于研究報(bào)告《機(jī)密計(jì)算乃當(dāng)務(wù)之急》，如欲了解詳情請(qǐng)?jiān)L問：https://www.intel.cn/content/www/cn/zh/cloud-computing/the-critical-need-for-confidential-computing.html

??^[2]?? 相關(guān)Gartner圖文內(nèi)容摘自公開網(wǎng)絡(luò)媒體：https://3w.huanqiu.com/a/c36dc8/44sCgH2ZD9b, https://www.163.com/dy/article/FP7RNG2R0511D6RL.html

??[3]?? Better Together：Azure ConfidentialComputing & Intel? Technologieshttps://www.intel.cn/content/www/cn/zh/cloud-computing/azure-confidential-computing.html?