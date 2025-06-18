IBM 机密计算组合扩展到 Red Hat 生态系统

2025 年 6 月 18 日

Kelly Pushong

Director, IBM Z and LinuxONE SW Product Management

IBM

Nicolas Mäding

Product Manager for Hyper Protect Platform

Hyper Protect Container Runtime (HPCR) for Red Hat Virtualization Solutions (RHVS) 和 Hyper Protect Confidential Containers (HPCC) for Red Hat OpenShift Container Platform (OCP) 的推出标志着在推进机密计算技术方面迈出了重要一步。

这一里程碑不仅仅意味着一次产品发布；它更代表了企业（尤其是服务提供商），在大规模和混合环境中保护工作负载能力上的更广泛转变。

为什么机密计算现在很重要

机密计算是一项旨在在数据处理过程中也能保护数据的技术。这是通过将工作负载隔离在受信任执行环境 (TEE) 中实现的，该环境旨在防止即便是权限最高的用户（包括云服务提供商、系统管理员以及第三方操作人员或组件）未经授权的访问。

在 AI 和混合云的时代，机密计算可以实现安全的数据处理和分析，保护敏感信息免受未经授权的访问。这对于依赖大型数据集（包括个人和专有数据）的 AI 应用至关重要。

根据 360iResearch 的数据，全球机密计算市场规模预计将从 2025 年的 70.6 亿美元增长到 2030 年的 149.4 亿美元，复合年增长率 (CAGR) 为 16.07%。他们指出：“通过在数据处理过程中保持数据加密，机密计算能够促进数字信任，降低合规成本，并支持依赖隐私保护数据协作的新兴 AI 与分析用例。”在他们看来，这将“释放机密计算的经济影响力及其增长驱动力”

除了特定 AI 模型正在处理的数据之外，IBM 还发现构建这些模型可能存在隐性成本。在许多企业应用场景中，这些模型（尤其是在使用专有数据进行增强和微调后）可能代表显著的商业价值和独特的市场优势。机密计算旨在保护这些模型、其底层知识产权和 AI 堆栈。

除了这些影响机密计算领域的趋势之外，另一个因素正在浮现：预计到 2028 年，77% 的计算基础设施将由服务提供商使用。这种转型带来了新的机遇，但也带来了重大的安全挑战。服务提供商通常在共享环境中管理工作负载，同时面临监管要求以及日益严格的数据隐私审查。

对于数据敏感性至关重要的行业，如医疗、金融和政府，机密计算在帮助组织保持合规性的同时，也确保了其运营的灵活性。对于服务提供商而言，这是一项竞争优势，通常能够在零信任环境中提升信任度、安全性和隐私保护，同时通过高效的多租户平台编排确保自己处于优势地位。

机密计算解决方案已添加至 Red Hat 生态系统

解决方案堆栈开发越来越依赖于容器，因为它们具有轻量级的特性、易于维护和简化的应用程序交付。从安全角度来看，容器化应用程序的构建可提供更强的隔离性，简化漏洞管理，并有助于减少代码库。在 IT 环境中隔离和虚拟化工作负载的一种成熟方法是使用虚拟机 (VM)，也称为虚拟服务实例。

随着应用程序向容器化或“云原生”方向发展，理想的部署环境取决于具体的用例。某些应用程序更适合虚拟化环境，在这些环境中，实例由管理员密切监控和管理。还有一些则更适合云原生平台，在那里，基础设施和服务被设计为具有弹性，使用一次性且易于替换的组件和微服务。

在 Red Hat 生态系统中，这种区别体现在：

  • 用于传统虚拟化工作负载的 Red Hat 虚拟化解决方案，以及
  • 作为构建和扩展容器化应用的一致性混合云基础的 Red Hat OpenShift 容器平台。

为了支持这两种部署模式，IBM 提供了相应的 Hyper Protect 产品，为 Red Hat 生态系统带来了机密计算能力：

  • IBM Hyper Protect Container Runtime (HPCR) for Red Hat Virtualization Solutions
  • IBM Hyper Protect Confidential Containers (HPCC) for Red Hat OpenShift Container Platform

HPCR 和 HPCC 共享关键原则和优点：

  • 他们利用 IBM Secure Execution for Linux (IBM SEL)，该技术旨在保护使用中的数据。
  • 它们旨在通过加密的 Hyper Protect Contract (HPC) 来保护容器化应用程序。
  • 它们支持零信任原则，即“从不信任，始终验证”，并通过可审计的成果物（如加密的证明记录和内置的策略执行）来实现。

HPCR：面向虚拟化环境的容器运行时

HPCR 非常适合需要高级别保护的专用和中央服务，例如：

  • 密钥管理
  • 策略和访问管理

这些服务可处理高价值资产，例如签名密钥、访问令牌和身份种子值。当与配备了 Crypto Express 硬件安全模块的 IBM Z 或 LinuxONE 系统结合使用时，HPCR 被设计为推荐的解决方案。

应用场景含：

这种级别的隔离和控制对于保护敏感机密和知识产权、支持合规义务至关重要。

HPCC：Confidential Containers for OpenShift

HPCC 旨在帮助在不受信任的环境（例如公有云或共享数据中心）中安全地处理敏感工作量。它旨在帮助确保即使是平台管理员或服务提供商也无法访问或篡改敏感数据。

应用场景含：

  • 需要灵活性和保密性的可扩展容器化环境
  • 机密的 AI/ML 管道，在部署时强制实施保护
  • 多租户平台，其中精细化隔离至关重要
  • 合规敏感型应用程序，这类应用需要安全的 DevOps、编排、日志记录和监控，同时不暴露数据。

通过将 HPCC 与 Red Hat OpenShift 集成，IBM 和 Red Hat 提供了一个安全、可扩展的平台，支持混合云部署，而无需牺牲敏捷性或不需要单独的基础设施。

灵活、安全的未来

随着 Hyper Protect Services 扩展到 Red Hat 生态系统中，IBM 正在将强大的机密计算技术与企业级平台进行结合。HPCR 和 HPCC 的集成旨在帮助组织：

  • 保护堆栈每一层的敏感数据，
  • 在混合和本地部署环境中应用零信任原则，
  • 将工作量与基础设施和系统管理员隔离，并且
  • 满足其在高度监管行业中的合规义务。

在服务提供商、混合云和 AI 主导的未来，这些能力不再是可选的，而是必不可少的。随着组织面临越来越大的压力，需要保护数据同时保持敏捷并合规，使用 Hyper Protect 的机密计算提供了强大的解决方案。IBM 的产品组合现已通过 Red Hat、SUSE 和 Ubuntu 全面推出，使企业能够控制其数据安全。

