疫情时数据传输与安全更重要,尤其对企业而言,如何将工作负载及敏感资料安全传到云端,低成本完成远端工作,是亟需解决的问题。
上周,Google 云端推出新产品机密虚拟机(VM),这款基于机密运算的安全产品,有望推动更多公司将资料存在云端,促进云端市场发展。
什么是机密运算?
Google 云端安全副总裁表示,机密运算是突破性技术,使用这种技术,可加密数据传输。
对资安而言,主要包括静态资料安全、资料传输安全和资料使用安全。
静态资料安全可直接使用数据加密或令牌化(Tokenization)等安全技术,即便从服务器或数据库复制数据,骇客也无法存取讯息。
要保证资料传输时安全,意味着当资料在服务器和应用程序间传输时,未经授权的人不能看到资料。目前已经建立起 2 种较成熟的方法确保资料传输安全。
但资料使用安全,由于资料使用时只有明文资料(未加密或其他保护)才能在应用程序完成计算,意味着在这过程中恶意软件可转储 RAM 内容以窃取资料,因此即便是在服务器的硬盘驱动器加密资料,也无济于事,所以保障资料储存安全格外困难。
机密运算就是针对资料使用过程安全问题的解决方案。这是基于硬件的技术,将资料、特定功能、应用程序,同操作系统、系统管理程式或虚拟机管理器及其他特定进程隔离,让资料存在受信任的执行环境(TEE),即使使用调试器,也无法从外部查看资料或操作。TEE 确保只有经过授权的代码才能存取,如果代码被篡改,TEE 将阻止操作。
机密运算对云端运算的价值是什么?
由于资料使用的安全问题,许多企业担心敏感资料泄露,因此拒绝将敏感应用程序迁到云端,一定程度阻碍公共云端发展,但机密运算出现,就是试图扫除此障碍。
目前机密运算为解决数据安全的新方法,在资安技术业渐渐发展起来。
去年 Google、微软、阿里巴巴和 VMware 等几家科技公司加入机密运算联盟(CCC),齐心协力解决云端运算的资料安全。CCC 为 Linux 基金会托管的开源社群,致力于定义和加速机密运算应用。
此外,Google 云端的机密虚拟机(VM)为基于机密运算的安全产品,是第一款可加密使用中资料的工具,有代表性突破。
Google Cloud 安全总经理兼副总裁 Sunil Potti 表示,金融和医疗保健等领域的公司希望采用云端技术管理资料工作,但资料隐私或合规性要求经常成为障碍。基于机密运算的安全工具,将简化公司的资安作业,以便安全利用云端创新。
机密虚拟机如何运作?
据 Google 云端介绍,机密虚拟机建立在第二代 AMD 芯片 EPYC 处理器,透过较低的运算能力为客户加密数据以完成机密运算,客户能以加密方式在 Google 云端运作。
Google 云端表示,机密虚拟机的安全等级非常高,可解锁新计算方案。这些机密虚拟机与真正用在加密和基于 N2D 高性能虚拟机相同,都是基于 AMD EPYC 安全加密虚拟化(SEV),可在保持性能同时,加密虚拟机器内存,利用 AMD 安全处理器生成密钥,锁定虚拟机器内存,不仅限制存取公司资料,还限制存取主机运行虚拟机。
此外,机密虚拟机将与 Google 的安全强化型虚拟机结合,为客户提供额外机密影像。这为客户将工作负载移到 Google 云端提供更多动力。
尽管机密虚拟机可能促使更多企业使用云端,同样值得注意的是,机密运算应用仍处于起步阶段,是否真能实际有效保护数据安全,有待进一步观察。
- What is confidential computing, and why are cloud companies so interested in it?
- What Is Confidential Computing?
- Can Google Get A Leg Up In the Confidential Computing Market With Its New Security Offerings?
(本文由 雷锋网 授权转载;首图来源:Flickr/Yuri Samoilov CC BY 2.0)
