机密计算技术可在数据处理过程中保护数据。 加密密钥的排他控制可在云端提供更强的端到端数据安全性。
保密计算是一种云计算技术,可在数据处理过程中将敏感数据隔离在受保护的 CPU 围圈中。 围圈中的内容 — 正在处理的数据以及用于处理它的技术 — 只能由授权编程代码访问,对任何其他人(包括云提供商)都是不可见和不可知的。
随着公司领导人越来越依赖公共及混合云 服务,云中的数据隐私已势在必行。 机密计算的主要目标是为领导者提供更有力的保证,确保他们在云中的数据是受保护的、保密的,并鼓励他们将更多的敏感数据和计算工作负载转移到公用 云 服务。
多年来,云提供商一直提供加密服务,以帮助保护静止的数据(在存储器和数据库中)和传输中的数据(通过网络连接转移的数据)。 机密计算通过保护使用中的数据 —即,处理中或运行中的数据 — 来消除剩余的数据安全漏洞。
在应用程序处理数据之前,数据必须在内存中进行解密。 这使得数据在处理之前、处理期间和处理之后都容易受到内存转储、根用户泄露和其他恶意的漏洞利用攻击。
机密计算通过利用基于硬件的可信执行环境 (TEE) 解决了这个问题,TEE 是 CPU 中的一个安全围圈。 TEE 使用嵌入式加密密钥提供安全保护;嵌入式认证机制可确保密钥只能被授权的应用代码访问。 如果恶意软件或其他未经授权的代码试图访问密钥 — 或者授权代码被黑客攻击或以任何方式篡改 — TEE 将拒绝访问密钥并取消计算。
通过这种方式,敏感数据可以一直保存在内存中,直到应用告诉 TEE 对其进行解密以待处理。 虽然数据被解密,但在整个计算过程中,它对操作系统(或虚拟机中的管理程序)、其他计算堆栈资源以及云供应商及其员工都是不可见的。
2019 年,一群 CPU 制造商、云提供商和软件公司— 阿里巴巴、AMD、百度、Fortanix、谷歌、IBM/Red Hat®、英特尔、微软、甲骨文、瑞士电信、腾讯和 VMware — 在 Linux 基金会的赞助下成立了机密计算联盟 (CCC) (链接位于 ibm.com 之外)。
CCC 旨在为机密计算定义全行业标准,并促进开源机密计算工具的开发。 该联盟最早的两个开源项目 Open Enclave SDK 和 Red Hat Enarx,旨在帮助开发人员构建无需修改即可跨 TEE 平台运行的应用。
然而,一些当今最广泛使用的机密计算技术被引入了成員公司之前构成的联盟。 例如,运行 TEE 运行在 Intel Xeon CPU 平台上的 Intel SGX (Software Guard Extensions) 技术早在 2016 年便已推出;2018 年,IBM 通过其IBM Cloud® Hyper Protect Virtual Servers和IBM Cloud® Data Shield产品使得机密计算能力开始普遍提供。
IBM一直在秘密计算投资研究和技术,为更多比十年,并且今天提供一个区域机密计算的云服务和相关的,业界领先的数据保护功能:
如想开始在 IBM Cloud 上使用机密计算,请注册一个 IBMid 并创建您的 IBM Cloud 账户。
获得更高级别的商业隐私保障。 通过完整的权力来保护您在静止中、传输中和使用中的数据。
专用的密钥管理和云硬件安全模块 (HSM) 服务。
在不修改应用的情况下,为 Kubernettes 容器启用运行时内存加密。
使用 Intel Xeon 处理器和 IBM Spectrum® 软件在 IBM Cloud® VPC 基础设施上构建 HPC 工作负载。