疫情當(dāng)下，數(shù)據(jù)的傳輸與安全變得更加重要。尤其是對(duì)于企業(yè)而言，如何將其工作負(fù)載以及敏感數(shù)據(jù)安全地傳送到云中，低成本地完成遠(yuǎn)程工作，是當(dāng)前亟待解決的問(wèn)題。

上周，谷歌云推出一款新產(chǎn)品機(jī)密虛擬機(jī)（VM），這款基于機(jī)密計(jì)算的安全產(chǎn)品，有望推動(dòng)更多的公司將數(shù)據(jù)儲(chǔ)存在云端，促進(jìn)云市場(chǎng)的發(fā)展。

什么是機(jī)密計(jì)算？

谷歌云安全副總裁表示，機(jī)密計(jì)算是一種突破性技術(shù)，使用這種技術(shù)，可以完成對(duì)數(shù)據(jù)的加密。

實(shí)際上，對(duì)于數(shù)據(jù)安全而言，主要包括靜態(tài)數(shù)據(jù)安全、數(shù)據(jù)在傳輸中的安全和數(shù)據(jù)在使用中安全。

其中靜態(tài)數(shù)據(jù)的安全，可以直接使用數(shù)據(jù)加密或者令牌化（Tokenization）等安全技術(shù)，即便是從服務(wù)器或數(shù)據(jù)庫(kù)復(fù)制數(shù)據(jù)，黑客也無(wú)法訪問(wèn)信息。

要保證數(shù)據(jù)在傳輸過(guò)程中的安全，意味著當(dāng)信息在服務(wù)器和應(yīng)用程序之間傳輸時(shí)，未經(jīng)授權(quán)的各方不能看到信息。目前已經(jīng)建立起兩種較為成熟的方法可以確保數(shù)據(jù)傳輸安全。

但對(duì)于數(shù)據(jù)使用安全，由于在數(shù)據(jù)在使用的過(guò)程中，只有明文數(shù)據(jù)（未經(jīng)加密或其他保護(hù)的數(shù)據(jù)）才能在應(yīng)用程序中完成計(jì)算，這就意味著在這一過(guò)程中，惡意軟件可以轉(zhuǎn)儲(chǔ)內(nèi)存中的內(nèi)容以竊取信息，因此即便是在服務(wù)器的硬盤驅(qū)動(dòng)器上對(duì)數(shù)據(jù)進(jìn)行加密，結(jié)果也無(wú)濟(jì)于事。所以，保障數(shù)據(jù)存儲(chǔ)中的安全格外困難。

機(jī)密計(jì)算就是針對(duì)數(shù)據(jù)在使用過(guò)程中的安全問(wèn)題所提出的一種解決方案。它是一種基于硬件的技術(shù)，將數(shù)據(jù)、特定功能、應(yīng)用程序，同操作系統(tǒng)、系統(tǒng)管理程序或虛擬機(jī)管理器以及其他特定進(jìn)程隔離開來(lái)，讓數(shù)據(jù)存儲(chǔ)在受信任的執(zhí)行環(huán)境（TEE）中，即使是使用調(diào)試器，也無(wú)法從外部查看數(shù)據(jù)或者執(zhí)行操作。TEE確保只有經(jīng)過(guò)授權(quán)的代碼才能訪問(wèn)數(shù)據(jù)，如果代碼被篡改，TEE將阻止其繼續(xù)進(jìn)行操作。

機(jī)密計(jì)算對(duì)云計(jì)算的價(jià)值是什么？

此前，由于數(shù)據(jù)在使用中的安全問(wèn)題，許多企業(yè)擔(dān)心其敏感數(shù)據(jù)泄露，因此拒絕將一些敏感的應(yīng)用程序遷移到云中，這在一定程度上阻礙了公共云的發(fā)展。但機(jī)密計(jì)算的出現(xiàn)，正在試圖掃除這一障礙。

目前，機(jī)密計(jì)算作為一種解決數(shù)據(jù)安全的新方法在技術(shù)行業(yè)得到發(fā)展。

去年，谷歌、微軟、阿里巴巴和VMware等幾家科技公司加入了機(jī)密計(jì)算聯(lián)盟（CCC），正其心協(xié)力解決云計(jì)算中的數(shù)據(jù)安全。CCC由Linux基金會(huì)托管的一個(gè)開源社區(qū)，致力于定義和加速機(jī)密計(jì)算的應(yīng)用。

此外，谷歌云推出的機(jī)密虛擬機(jī)（VM）作為一款基于機(jī)密計(jì)算的安全產(chǎn)品，是第一款可以對(duì)使用中的數(shù)據(jù)進(jìn)行加密的工具，具有代表性突破。

Google Cloud安全總經(jīng)理兼副總裁Sunil Potti表示，金融和醫(yī)療保健等領(lǐng)域的公司希望采用云技術(shù)來(lái)管理其數(shù)據(jù)工作負(fù)載，但是，數(shù)據(jù)隱私或合規(guī)性要求經(jīng)常成為障礙?；跈C(jī)密計(jì)算的安全工具將簡(jiǎn)化這些部門中公司的安全運(yùn)營(yíng)，以便他們可以安全地利用云創(chuàng)新。

機(jī)密虛擬機(jī)如何運(yùn)作？

根據(jù)谷歌云的介紹，機(jī)密虛擬機(jī)建立在第二代AMD芯片EPYC處理器上，通過(guò)較低的計(jì)算能力為客戶加密數(shù)據(jù)以完成機(jī)密計(jì)算，客戶能夠以加密的方式在谷歌云上運(yùn)行其工作負(fù)載。

谷歌云方面表示，機(jī)密虛擬機(jī)的安全級(jí)別非常高，可以解鎖新的計(jì)算方案。這些機(jī)密虛擬機(jī)與真正用在加密和基于N2D高性能虛擬機(jī)相同，都是基于AMD EPYC安全加密虛擬化（SEV），該技術(shù)可以在保持其性能的同時(shí)，對(duì)虛擬機(jī)內(nèi)存進(jìn)行加密，利用AMD安全處理器生成密鑰，從而鎖定虛擬機(jī)內(nèi)存，不僅限制了公司數(shù)據(jù)的訪問(wèn)，還限制了主機(jī)上運(yùn)行虛擬機(jī)的訪問(wèn)。

此外，機(jī)密虛擬機(jī)將與谷歌的安全強(qiáng)化型虛擬機(jī)結(jié)合，為客戶提供額外的機(jī)密影像。這為客戶將工作負(fù)載轉(zhuǎn)移到谷歌云上提供了更多的動(dòng)力支撐。

盡管機(jī)密虛擬機(jī)的出現(xiàn)可能促使更多的企業(yè)使用云服務(wù)平臺(tái)，同樣值得注意的是，機(jī)密計(jì)算在應(yīng)用方面仍然處于起步階段，是否真的能在實(shí)際應(yīng)用中有效保護(hù)數(shù)據(jù)安全，還有待進(jìn)一步觀察。

參考來(lái)源：

https://fortune.com/2020/07/20/confidential-computing-cloud-hackers/

https://spectrum.ieee.org/computing/hardware/what-is-confidential-computing

https://analyticsindiamag.com/can-google-get-a-leg-up-in-the-confidential-computing-market-with-its-new-security-offerings/

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

相關(guān)文章：

中國(guó)云計(jì)算市場(chǎng)最新排名：阿里云第一，份額上漲至46.4%

云計(jì)算改變服務(wù)器市場(chǎng)格局，浪潮緊抓云、AI與邊緣

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。