2024년 6월 4일
기밀 컴퓨팅 기술은 처리 중에 보호된 CPU 엔클레이브에서 중요한 데이터를 격리합니다. 처리되는 데이터와 이를 처리하는 데 사용되는 기술을 포함하는 enclave의 콘텐츠는 권한이 부여된 프로그래밍 코드에서만 액세스할 수 있습니다. 그들은 보이지 않으며 클라우드 공급자를 포함하여 어떤 것이나 다른 사람도 알 수 없습니다.
기업 리더들이 퍼블릭 및 하이브리드 클라우드 서비스에 점점 더 의존하게 되면서, 클라우드에서의 데이터 개인 정보 보호가 필수적입니다. 기밀 컴퓨팅의 주요 목표는 리더에게 클라우드의 데이터가 보호되고 기밀이 유지된다는 확신을 심어주고 민감한 데이터 및 컴퓨팅 워크로드를 공용 클라우드 서비스로 더 많이 이전하도록 장려하는 것입니다.
수년 동안 클라우드 제공업체는 저장 데이터(스토리지, 데이터베이스 및 데이터 센터)와 전송 중인 데이터(네트워크 연결을 통해 이동)를 보호하는 데 도움이 되는 암호화 서비스를 제공해 왔습니다. 기밀 컴퓨팅은 처리 또는 런타임 중에 사용 중인 데이터를 보호하여 나머지 데이터 보안 취약성을 제거합니다. 데이터는 수명 주기의 모든 단계에서 보호됩니다.
보안 인텔리전스 강화
매주 Think 뉴스레터에서 보안, AI 등에 대한 뉴스와 인사이트를 확인하고 위협에 한발 앞서 대처하세요.
애플리케이션에서 데이터를 처리하려면 먼저 메모리에서 데이터의 암호화를 해제해야 합니다. 이로 인해 처리 전, 처리 중, 처리 후 데이터가 메모리 덤프, 루트 사용자 손상 및 기타 악의적인 악용에 취약해집니다.
기밀 컴퓨팅은 CPU 내의 안전한 영역인 하드웨어 기반 신뢰 실행 환경(TEE)을 사용하여 이러한 사이버보안 문제를 해결합니다. TEE는 내장된 암호화 키를 사용하여 보호됩니다. 포함된 증명 메커니즘은 승인된 애플리케이션 코드에서만 키에 액세스할 수 있도록 합니다. 멀웨어 또는 기타 승인되지 않은 코드가 키에 액세스하려고 시도하거나 승인된 코드가 해킹 또는 어떤 식으로든 변경된 경우 TEE는 키에 대한 액세스를 거부하고 계산을 취소합니다.
이렇게 하면 애플리케이션이 TEE에 처리를 위해 암호를 해독하도록 지시할 때까지 민감한 데이터를 메모리에서 계속 보호할 수 있습니다. 데이터는 전체 계산 프로세스에서 해독되지만 운영 체제,가상 머신 (VM) 의 하이퍼바이저 , 다른 컴퓨팅 스택 리소스, 클라우드 서비스 제공업체 및 직원에게는 보이지 않습니다.
사용 중에도 민감한 데이터를 보호하고 클라우드 컴퓨팅 이점을 민감한 워크로드로 확장합니다. 기밀 컴퓨팅을 미사용 및 전송 중인 데이터 암호화 및 키에 대한 독점적 제어 기능과 사용하면 민감하거나 규제가 심한 데이터 세트 및 애플리케이션 워크로드를 유연하지 않고 비용이 많이 드는 온프레미스 컴퓨팅 환경에서 보다 유연하고 현대적인 퍼블릭 클라우드 에코시스템으로 이동하는 데 방해가 되는 가장 큰 장벽을 없앨 수 있습니다.
지적 재산을 보호하기 위해. 기밀 컴퓨팅은 데이터 보호만을 위한 것이 아닙니다. TEE는 독점적인 비즈니스 로직, 분석 기능, 머신 러닝 알고리즘 또는 전체 애플리케이션을 보호하는 데에도 사용할 수 있습니다.
새로운 클라우드 솔루션에 대해 파트너와 안전하게 협업할 수 있습니다. 예를 들어, 한 회사의 팀은 민감한 데이터를 다른 회사의 독점 계산과 결합하여 데이터 기밀성을 유지하면서 새로운 솔루션을 만들 수 있습니다. 두 회사 모두 공유하고 싶지 않은 데이터나 지적 재산을 공유할 필요가 없습니다.
클라우드 제공업체 선택 시 우려되는 사항을 없애기 위함입니다. 기밀 컴퓨팅을 통해 회사 리더는 고객 데이터, 독점 기술 및 기타 민감한 자산의 저장 및 처리에 대한 걱정 없이 조직의 기술 및 비즈니스 요구 사항을 가장 잘 충족하는 클라우드 컴퓨팅 서비스를 선택할 수 있습니다. 또한 이 접근 방식은 클라우드 공급자가 경쟁 비즈니스 서비스도 제공하는 경우 추가적인 경쟁 문제를 완화하는 데 도움이 됩니다.
엣지에서 처리되는 데이터를 보호합니다. 엣지 컴퓨팅(Edge Computing)은 엔터프라이즈 애플리케이션을 데이터 소스(예: IoT 디바이스 또는 로컬 엣지 서버)와 가까운 위치로 이동시키는 분산 컴퓨팅 프레임워크입니다. 이 프레임워크가 분산 클라우드 패턴의 일부로 사용되는 경우 에지 노드의 데이터와 애플리케이션을 기밀 컴퓨팅으로 보호할 수 있습니다.
2019년, 알리바바, AMD, 바이두, 포타닉스, 구글, IBM®, 레드햇®, 인텔, 마이크로소프트, 오라클, 스위스콤, 텐센트, VM웨어 등 CPU 제조업체, 클라우드 제공업체 및 소프트웨어 회사 그룹이 리눅스 재단의 후원으로 기밀 컴퓨팅 컨소시엄 1 (CCC) 을 결성했습니다.
CCC의 목표는 기밀 컴퓨팅에 대한 업계 전반의 표준을 정의하고 오픈 소스 기밀 컴퓨팅 도구의 개발을 촉진하는 것입니다. 컨소시엄의 첫 번째 오픈 소스 프로젝트 중 두 가지인 Open Enclave SDK 및 Red Hat Enarx는 개발자가 TEE 플랫폼에서 수정 없이도 실행할 수 있는 애플리케이션을 구축하는 데 도움이 됩니다.
그러나 오늘날 가장 널리 사용되는 기밀 컴퓨팅 기술 중 일부는 컨소시엄이 형성되기 전에 회원사에 의해 도입되었습니다. 예를 들어, 인텔 제온 프로세서에서 TEE를 가능하게 하는 인텔 SGX(Software Guard Extensions) 기술은 2016년부터 제공되었습니다. IBM은 IBM Cloud® 가상 및 베어메탈 서버를 통해 일반적으로 사용할 수 있는 기밀 컴퓨팅 기능을 보유하고 있습니다.