云供应商鼎力支持机密计算

自2000年代中期兴起以来，公有云这一计算媒介中的数据安全一直都是个令人头疼的问题，但云供应商正利用“机密计算”这一新概念逐步消除对数据盗窃的恐惧。

机密计算涉及在硬件上创建隔离的保险库——亦称可信执行环境，在其中保护和存储加密代码。仅持有正确密钥（通常是一串数字）的应用程序才能解锁并解密代码，从而访问这些代码。所有这一切须经认证过程加以验证，最大限度地降低未授权方窃取数据的可能性。

今年10月微软Ignite大会的一场流媒体视频会议上，Microsoft Azure首席技术官Mark Russinovich表示，机密计算提供“终极数据保护”。

“由于是在受硬件保护的飞地内部，外部没人能看到或篡改数据。”他说，“包括能实际触碰到服务器的人、服务器管理员、虚拟机管理程序，以及应用程序管理员。”

分析师认为，企业可利用机密计算将重度仰赖数据隐私和安全的工作负载迁移到云端。例如，医疗和金融等监管严密行业的公司，就可以在维持其安全态势的情况下转向云服务。

窥探云中漏洞

自诞生之初，云计算在价格和灵活性方面的实惠就大大掩盖了安全短板。技术研究公司CCS Insight云、基础设施和量子计算首席分析师James Sanders表示，对云计算最尖锐的批评是无法确保隐私，因为客户工作负载无法彻底与宿主系统隔离。

“然而，2018年‘幽灵’（Spectre）和‘熔断’（Meltdown）漏洞的披露，证明了恶意云租户有可能从同一宿主系统上其他进程的工作负载中渗漏数据。”

这两个漏洞向黑客暴露了流出安全飞地的机密信息。但幽灵和熔断攻击也推动了广义上的机密计算概念，即只有授权方才能访问加密代码，且加密代码不会流出隔离的飞地。

咨询公司Tirias Research首席分析师Steve Leibson表示，加密计算可以防止恶意黑客入侵服务器盗取秘密。

“国家支持的攻击是最难也最复杂的。”他说道，“所以你必须认真考虑如何保护使用中、传输中和已存储的数据。数据在这三种状态下都必须是加密的。”

芯片级机密计算

Leibson表示，机密计算正在改变硬件制造商和云供应商对待应用程序的态度，让他们直接在芯片层级而非虚拟机层级上思考应用程序。

“在处理器上运行时我们不需要认证，因为没人会去篡改一个Xeon处理器。”他说，“但虚拟机不一样，虚拟机仅仅是个软件。你可以篡改软件。认证就是要为软件机器提供类似芯片为硬件处理器提供的那种刚性。”

芯片制造商由此采取了安全优先的芯片设计方法，这种方法逐渐延伸到了云产品上。上个月，谷歌、英伟达、微软和AMD联合发布了一套名为Caliptra的规范，用于在芯片上建立安全层存放受保护的可信数据。该规范保护引导扇区，提供认证层，防止差错注入和边信道攻击等常规硬件黑客攻击。Caliptra由开放计算计划和Linux基金会管理。

在10月中旬举行的谷歌Cloud Next大会期间发表的博客文章中，谷歌副总裁兼技术研究员Parthasarathy Ranganathan写道：“我们期待未来机密计算领域出现各种创新，涌现出需要在封装或片上系统（SoC）层级进行芯片级认证的各种用例。”

谷歌已经拥有了自己的机密计算技术，该名为OpenTitan的技术主要关注引导扇区保护。

科技分析公司CCS Insight首席分析师Sanders表示，微软此前在机密计算领域的工作依赖部分飞地而非保护整个宿主系统。但是，微软本月发布的Azure虚拟机中，机密计算基于烧录进AMD霄龙（Epyc）服务器处理器的技术。AMD的SNP-SEV技术在数据加载到CPU或GPU时加密数据，保护处理过程中的数据。

为实现合规扫清道路

分析人士表示，对于企业而言，机密计算提供了在公有云上保护数据的能力，符合欧洲《通用数据保护条例》（GDPR）和美国《健康保险流通与责任法案》（HIPAA）等法规的要求。

Sander表示：“推出能防住云管理员的加密措施平息了长久以来的反云论调之一，因为屏蔽工作负载，让云平台运营商无法窥探客户工作负载，就能够有效消除妨碍公有云采用的最大残余风险源。”

AMD的这项技术在今年早些时候出现在通用虚拟机中，但Ignite的发布将该技术扩展到了Azure Kubernetes Service，为云原生工作负载提供了额外的安全性。Azure上的AMD SNP-SEV技术也可用于自带设备办公、远程办公环境，以及图像密集型应用程序。