保密计算
黑蓝背景
什么是机密计算?

机密计算技术可在数据处理过程中保护数据。 加密密钥的排他控制可在云端提供更强的端到端数据安全性。

保密计算是一种云计算技术,可在数据处理过程中将敏感数据隔离在受保护的 CPU 围圈中。 围圈中的内容 — 正在处理的数据以及用于处理它的技术 — 只能由授权编程代码访问,对任何其他人(包括云提供商)都是不可见和不可知的。

随着公司领导人越来越依赖公共及混合云 服务,云中的数据隐私已势在必行。 机密计算的主要目标是为领导者提供更有力的保证,确保他们在云中的数据是受保护的、保密的,并鼓励他们将更多的敏感数据和计算工作负载转移到公用 云 服务。

多年来,云提供商一直提供加密服务,以帮助保护静止的数据(在存储器和数据库中)和传输中的数据(通过网络连接转移的数据)。 机密计算通过保护使用中的数据 即,处理中或运行中的数据 — 来消除剩余的数据安全漏洞。

保密计算的工作原理

在应用程序处理数据之前,数据必须在内存中进行解密。 这使得数据在处理之前、处理期间和处理之后都容易受到内存转储、根用户泄露和其他恶意的漏洞利用攻击。

机密计算通过利用基于硬件的可信执行环境 (TEE) 解决了这个问题,TEE 是 CPU 中的一个安全围圈。 TEE 使用嵌入式加密密钥提供安全保护;嵌入式认证机制可确保密钥只能被授权的应用代码访问。 如果恶意软件或其他未经授权的代码试图访问密钥 — 或者授权代码被黑客攻击或以任何方式篡改 —  TEE 将拒绝访问密钥并取消计算。

通过这种方式,敏感数据可以一直保存在内存中,直到应用告诉 TEE 对其进行解密以待处理。 虽然数据被解密,但在整个计算过程中,它对操作系统(或虚拟机中的管理程序)、其他计算堆栈资源以及云供应商及其员工都是不可见的。

为何要使用保密计算?
  • 保护敏感数据,即使在使用过程中 — 并将 云计算的优势扩展到敏感工作负载。 当您将敏感或受到严格管制的数据集和应用工作负载从不灵活、昂贵的本地 IT 基础设施转移到更灵活、更现代的公共 云平台时,若将保密计算和对密钥的排他控制权同时作用于静止数据和传输中数据的数据加密,将能够消除这一过程中的单一最大障碍。 
  • 保护知识产权。 保密计算不仅适用于数据保护。 TEE 也可用于保护专有的业务逻辑、分析功能、机器学习算法或整个应用。
  • 与新的云解决方案与合作伙伴安全地协作。 例如,某公司的工作团队可将其敏感数据与另一家公司的专有计算结合起来,以创建新的解决方案 — 这两家公司均无需被迫共享任何数据或知识产权。
  • 在选择云提供商时消除顾虑。  保密计算允许公司领导者选择最能满足其 技术和业务需求的云计算服务,无需担心客户数据、专有技术和其他敏感资产的存储和处理问题。 如果云提供商也提供竞争性的业务服务,这种方法还有助于缓解任何额外的竞争担忧。
  • 保护在边缘处理的数据。 边缘计算是一种分布式计算框架,使企业应用更接近数据源,例如,IoT 设备或本地边缘服务器。 当该框架被用作分布式云模式的一部分时,边缘节点上的数据和应用可以通过保密计算得到保护。
机密计算联盟

2019 年,一群 CPU 制造商、云提供商和软件公司— 阿里巴巴、AMD、百度、Fortanix、谷歌、IBM/Red Hat®、英特尔、微软、甲骨文、瑞士电信、腾讯和 VMware — 在 Linux 基金会的赞助下成立了机密计算联盟 (CCC) (链接位于 ibm.com 之外)。

CCC 旨在为机密计算定义全行业标准,并促进开源机密计算工具的开发。 该联盟最早的两个开源项目 Open Enclave SDK 和 Red Hat Enarx,旨在帮助开发人员构建无需修改即可跨 TEE 平台运行的应用。

然而,一些当今最广泛使用的机密计算技术被引入了成員公司之前构成的联盟。 例如,运行 TEE 运行在 Intel Xeon CPU 平台上的 Intel SGX (Software Guard Extensions) 技术早在 2016 年便已推出;2018 年,IBM 通过其IBM Cloud® Hyper Protect Virtual ServersIBM Cloud® Data Shield产品使得机密计算能力开始普遍提供。

机密计算和 IBM Cloud®

IBM一直在秘密计算投资研究和技术,为更多比十年,并且今天提供一个区域机密计算的云服务和相关的,业界领先的数据保护功能:

  • 系列的IBM Cloud Hyper Protect Cloud Services为客户在云端的业务流程提供端到端保护。它建立在安全围圈 (enclave) 技术之上,以利用业界首个也是唯一通过 FIPS 140-2 Level 4 认证的云硬件安全模块 (HSM)¹。 该系列包括IBM Cloud® Hyper Protect Crypto Services,它提供对云数据加密密钥和云硬件安全模块的完全控制,以及用于静止数据加密的业界唯一的“保持您自己的秘钥”(Keep Your Own Key, KYOK) 功能。²
  • IBM Cloud Data Shield允许用户在 Kubernetes Service 和 OpenShift 集群的安全围圈中保护容器化应用,无需更改代码。 IBM Cloud Data Shield 基于 Intel SGX 和 Fortanix Runtime Encryption Platform,将 Intel SGX 语言支持从 C 和 C++ 扩展到了 Python 和 Java,并为 MySQL、NGINX 和 Vault 提供了 SGX 应用。
  • IBM Cloud® HPC Cluster使客户能够快速轻松地在 IBM Cloud 中构建可伸缩的高性能计算集群。 除了其他的安全功能外,IBM Cloud HPC Cluster 还通过“携带您自己的加密操作系统”(bring your own encrypted operating system) 和 “保持您自己的秘钥”(Keep Your Own Key, KYOK) 功能支持端到端机密性。
  • IBM® Secure Execution for Linux (PDF) 允许在 IBM® LinuxONE 或 IBMZ® 混合云环境中构建可信执行环境 (TEE)。

如想开始在 IBM Cloud 上使用机密计算,请注册一个 IBMid 并创建您的 IBM Cloud 账户

相关解决方案
机密计算和 IBM Cloud

获得更高级别的商业隐私保障。 通过完整的权力来保护您在静止中、传输中和使用中的数据。

探索 IBM Cloud 上的机密计算
IBM Cloud Hyper Protect Crypto Services

专用的密钥管理和云硬件安全模块 (HSM) 服务。

探索 IBM Cloud Hyper Protect Crypto Services
IBM Cloud Data Shield

在不修改应用的情况下,为 Kubernettes 容器启用运行时内存加密。

探索 IBM Cloud Data Shield
IBM Cloud 上的高性能计算

使用 Intel Xeon 处理器和 IBM Spectrum® 软件在 IBM Cloud® VPC 基础设施上构建 HPC 工作负载。

探索 IBM Cloud 上的高性能计算