公有云的机密计算:隔离和远程证明说明
by Canonical on 14 March 2023
在本博客系列的第一部分,我们探讨了运行时的(不)安全挑战,它会使您的代码和数据易受到公有云基础架构的特权系统软件及其管理员的攻击。此外,我们还引入了可信执行环境和机密计算(CC,Confidentail Computing)的概念,作为应对本次挑战的范例。CC 采用务实的方法:它认为由云系统软件引导的执行环境并不可靠,建议在隔离的可信执行环境中(TEE,Trusted Execution Environment)运行安全敏感工作负载。TEE 的安全保证根植于平台的深层硬件层中;安全声明可以远程验证。
但是机密计算的工作原理是什么呢?为了更详细了解 TEE 和 CC,我们需要了解隔离和远程证明。
为了能够对 TEE 和机密计算展开思考,我们需要了解两个主要的原语:
- 孤立 – isolation
- 远程证明 – remote attestation
而这正是第二个博客部分所探讨的内容。接下来就让我们开始吧!
隔离
依靠硬件隔离来创建具备更好安全保证的 TEE 的想法屡见不鲜。多年来,人们已开发了各种方法来实现硬件 TEE。从较高级别来看,可将其分为物理隔离方法和逻辑隔离方法。
物理隔离
代码在物理隔离的处理器中运行,该处理器不与不可信的执行环境共享任何上下文。比较突出的示例有协处理器、智能卡和安全模块。此类解决方案由于完全隔离,因此针对主机平台侧信道攻击具有高度可靠的保护。然而,它们缺乏对系统内存的直接访问权限。此外,它们的计算资源也十分有限。
多重逻辑隔离
安全敏感的工作负载在同一个主机商用处理器中运行,并共享其同一个物理执行上下文。但是,其执行在逻辑上与主 CPU 相互隔离,如下所示:
1. 通过主内存加密进行的内存隔离:
与在运行时将工作负载的代码和数据以明文形式保存到系统内存不同,许多具有机密计算能力的 CPU,
都在其内存控制器中嵌入了新的 AES-128 硬件加密引擎,负责在每次内存读/写时加密/解密内存页。因此,从内存中或易受攻击的操作系统中抓取数据的恶意系统管理员只能访问到加密的密文。加密密钥在硬件级别得到进一步的保护和管理,任何云的特权系统软件及其管理员都无法访问。
2. 其他基于 CPU 的硬件访问控制机制:
虽然加密操作保护了机密工作负载内存页的机密性,但其他类型的攻击仍然可能发生。例如,恶意主机操作系统可能会将同一个内存页分配给两个不同的进程。此外,作为重放攻击,它还可能更改您的加密内存值,从而无法保证机密工作负载的完整性。为了解决这一问题,具有机密计算能力的 CPU 实现了新的指令和新的数据结构,可帮助审计通常由特权系统软件执行的安全敏感任务,例如内存管理和对平台设备的访问。例如,用于读取映射到机密工作负载的内存页的新指令还应该返回上一次写入该页的前一个值,以便减少数据损失和重复攻击。
远程证明
好了,现在您的工作负载安全地运行在其自身的隔离可信执行环境中了。那么,是否真正安全地运行?如何验证您的云供应商未以正常的非机密方式部署您的工作负载?如何了解它是否将您的工作负载配置为真正的硬件 TEE?如果这样,如何验证其系统软件已经按照您希望的方式将应用程序加载到 TEE?您只能相信云供应商所说吗?大可不必。相反,在将机密配置到硬件 TEE 中并信赖其结果之前,应充分利用硬件 TEE 的远程证明功能。
至少,远程证明为您提供一个加密证明,包括:
- 可证明加载到 TEE 的软件完整性的度量/散列
- 散列上的加密签名,证实了所用的云 TEE 硬件是真实的,且未撤销
远程证明实施细节取决于底层硬件 TEE 和公有云供应商,这将是本系列下一篇博客探讨的主题。
公有云中的机密计算
机密计算是一种全行业性的工作,需要多方利益相关者的合作。在硬件方面,硅供应商已投入大量资源,来完善其 TEE 产品。举几个例子,我们的 X86 架构上有 Intel SGX、Intel TDX 和 AMD SEV;ARM 生态系统方面有 TrustZone 和即将推出的 ARM CCA;RISC-V 架构上有 Keystone。
公有云供应商(简称 PCP)一直是硬件可信执行环境的主要采用者之一。为了使用户更轻松运行机密工作负载,PCP 一直都致力于实现「迁移和提升」方法,通过该方法,整个虚拟机可在 TEE 中稳定地运行。
这意味着,开发者无需重构或重写他们的机密应用程序;而且这也意味着,客户操作系统需要优化,以支持用户应用程序充分利用平台的底层硬件 TEE 功能,并在虚拟机启动和休息时进一步保护虚拟机。
Google 云集团产品经理 Nelly Porter 表示:“Google 云控制台上提供了经优化的 Ubuntu LTS 图像,这些图像利用 Google 云的机密计算保护使用中的数据安全”“与 Canonical 一起,让基于 Ubuntu 的机密虚拟机部署变得简单易用。”
今天,我们的云机密计算组合包括 Google 云上的机密虚拟机。而这仅仅是开始!
Canonical 致力于实现机密计算的愿景,这仅仅标志着 Ubuntu 在各种公有云和计算类的机密计算能力的开始。我们期待着分享更多关于我们不断扩大的产品组合的新闻,并了解您利用机密计算的新方法。
更多资源
订阅博客文章
查看更多内容
在微软 Azure 上使用 Ubuntu 机密虚拟机和 Nvidia H100 GPU 的 Confidential AI 集成预览
使用 Azure 上的 Ubuntu 机密 AI,企业可以放心地承担各种任务,包括 ML 训练、推断、多方机密数据分析和联合学习。 AI 模型的有效性在很大程度上取决于能否访问大量高质量的数据。虽然可以使用公开可用的数据集,但对于医疗诊断或财务风险评估等任务,我们需要在训练和推断过程中访问私人数据。 在云中执行机器学习任务时,企业担心其敏感数据隐私和模型相关知识产权可能受到损害,这是可以理解的。此外,严格的行业法规通常禁止共享此类数据。这使得利用大量有价值的私人数据变得困难,甚至完全不可能,从而限制了 AI 在重要领域的真正潜力。 机密 AI 可以直接解决这一问题,提供了一个跨越 CPU 和 GPU 的基于硬件的执行环境。该环境可以帮助保护 AI 数据和代码免遭特权系统 […]
Ubuntu Linux 为什么成为金融服务领域取代 CentOS 的首选?
金融服务由技术驱动。而客户体验越来越多地由数据驱动,通过定制产品和服务可以体现出个人行为和偏好。所有这一切都建立在安全稳定的技术基础之上,只有这样的基础才可以提供敏捷性和灵活性,以适应客户需求的同时保持合规性。 使用 CentOS 作为创新基础的金融服务机构见证了 CentOS 8 于 2021 年退出,随后是 CentOS 7 于 2024 年 6 月退出。不过,最近的一项研究显示,各行业近四分之一的企业组织仍在使用 CentOS。 听起来是不是很耳熟?众所周知,金融机构在进行重大技术变革时是最谨慎的。考虑到金融业务的敏感性,这也就可以理解了。事实上,尽管过渡到云已成为一种成熟的方案,但仍有 60% 的金融机构表示,他们采用的传统技术堆栈成本过高且存在不足。与所有传 […]
您每隔多久会在 Linux 上安装一次安全补丁?
定期应用补丁对于维护安全的环境至关重要,但对于确保 Linux 资产的安全性,并不存在一劳永逸的办法。那么,如何平衡更新频率和运行稳定性呢?有一些策略可通过合规且安全的方式实现安全补丁自动化,甚至适用于限制和监管最严格的环境。在确定安全补丁策略时,有必要了解 Canonical 软件更新发布时间表和安全补丁覆盖周期时间窗口等重要信息。笔者在近期主持的一场在线研讨会和安全问答活动中,解释了如何尽量减少补丁应用频率或尽量缩短未修复漏洞被利用的时间。本篇文章将概述笔者在这次网络研讨会上的主要观点,并说明确定更新计划时最重要的考虑因素。 针对 Linux 内核的安全补丁 Ubuntu 中有两种类型的内核,这些内核有两种打包方式。两种内核类型为通用版(GA)内核和变体内核。两种打 […]