机密计算的神秘面纱

机密计算通过基于硬件的可信执行环境（TEE）保护使用中的数据，是近几个月来俘获大量关注的数据安全子领域，发展势头极为迅猛。

数据存在三种状态：传输中、静态和使用中。正在网络上流转的数据就是“传输中”数据，保存在某种形式的存储载体上的数据就是“静态”数据，正在处理中的数据就是“使用中”数据。

随着传输中数据和静态数据防护措施的发展，针对网络和存储设备的网络威胁越来越不容易得手，攻击者将目光转向了使用中数据。常见攻击方法包括内存刮取、CPU边信道攻击和恶意软件注入。

机密计算通过基于硬件的可信执行环境（TEE）保护使用中的数据，TEE可提供一定水平的数据完整性、数据机密性和代码完整性保障。

安全策略师必须考虑所有不同层面上的潜在入侵。只要某一层遭入侵（比如使用中数据），那其他层面（静态数据、传输中数据）也可能受影响。机密计算能够堵上入侵者可以用来渗漏的最后一个“漏洞”，将大幅增强公司企业的整体安全策略。

机密计算的兴起

几十年来，公司企业一直努力运用多种安全策略保护数据安全，但机密计算并无前例，是全新的一类数据安全解决方案，以创新方式补强公司企业数据防护策略中的另一潜在弱点。处理器和内存芯片设计的诸多重大发展，让我们能够在标准处理芯片集里嵌入更多功能，从而开始推动机密计算解决方案的兴起与采纳。

任何新技术进入市场，通常都是一开始比较困难，但很快技术社区和领域专家就会开始宣传布道。机密计算仍处于早期采纳阶段，缺乏标准的实现方式。多家供应商以多种方式定位机密计算，造成普通安全IT人员对此颇为困惑，但这种技术仍令人振奋，引人跃跃欲试。

类似的采纳速度可以在同为安全领域的密钥管理领域里找到。在密钥管理互操作性协议（KMIP）引入之前，公司企业部署的每一个加密解决方案都需要专门集成某种形式的加密密钥管理器。虽然一开始复杂又混乱，但这一麻烦最终得以解决。

当前的密钥管理解决方案已经采用了KMIP，变得易于实现和使用，价格也便宜了不少。与密钥管理和之前的很多其他技术一样，机密计算技术的采纳预期会遵循类似的路线。

随着机密计算市场的发展，我们将在未来三到五年见证一些重大变化。最初，每个用例的实现可能都会略微不同，需要自己的芯片级硬件，以及管理该硬件的相应软件。

这一时间框架中，客户需求可能会迫使芯片制造商标准化，以便最终用户有一套统一的方法保护其使用中的数据。软件行业也将不得不快速创新和改进机密计算的可管理性和兼容性，让机密计算更容易适应现有安全管理框架，变得更容易部署和使用。

如何进入机密计算领域

由于机密计算如今才刚刚进入主流，IT安全人员应仔细调查研究自身关键企业或政府应用的TEE部署方式，知道自己可能需要根据特定应用所选硬件供应商处理多种不同实现。

例如，如果TEE运行在数据中心，管理就需要由该公司或机构的硬件供应商提供。这些TEE使用安全飞地之类的硬件技术为环境中的代码执行和数据保护提供额外的安全保障。基于硬件的安全飞地技术包括可信平台模块（TPM）、英特尔的软件保护扩展（SGX）、ARM的Trustzone和AMD的安全加密虚拟化（SEV）。然而，使用云的公司企业通常需要求助于其云提供商以服务形式托管的不同TEE。采用英特尔SGX的Azure Confidential Computing和谷歌的云机密计算（Cloud Confidential Computing）就归属此类。

虽然可以利用机密计算，但硬件安全模块（HSM）仍是单独的一块复杂又昂贵的硬件，而且需要投入管理资源。基于软件的密钥管理器可在提供TEE的任何硬件上执行，以极低的开销交付机密计算的价值，获得与硬件解决方案同等的全部防护。

安全是任何IT策略的重心，机密计算是未来几年中值得关注的下一个技术。