公有云的机密计算：隔离和远程证明说明

by Canonical on 14 March 2023

在本博客系列的第一部分，我们探讨了运行时的（不）安全挑战，它会使您的代码和数据易受到公有云基础架构的特权系统软件及其管理员的攻击。此外，我们还引入了可信执行环境和机密计算（CC，Confidentail Computing）的概念，作为应对本次挑战的范例。CC 采用务实的方法：它认为由云系统软件引导的执行环境并不可靠，建议在隔离的可信执行环境中（TEE，Trusted Execution Environment）运行安全敏感工作负载。TEE 的安全保证根植于平台的深层硬件层中；安全声明可以远程验证。

但是机密计算的工作原理是什么呢？为了更详细了解 TEE 和 CC，我们需要了解隔离和远程证明。

为了能够对 TEE 和机密计算展开思考，我们需要了解两个主要的原语：

孤立 – isolation
远程证明 – remote attestation

而这正是第二个博客部分所探讨的内容。接下来就让我们开始吧！

隔离

依靠硬件隔离来创建具备更好安全保证的 TEE 的想法屡见不鲜。多年来，人们已开发了各种方法来实现硬件 TEE。从较高级别来看，可将其分为物理隔离方法和逻辑隔离方法。

物理隔离

代码在物理隔离的处理器中运行，该处理器不与不可信的执行环境共享任何上下文。比较突出的示例有协处理器、智能卡和安全模块。此类解决方案由于完全隔离，因此针对主机平台侧信道攻击具有高度可靠的保护。然而，它们缺乏对系统内存的直接访问权限。此外，它们的计算资源也十分有限。

多重逻辑隔离

安全敏感的工作负载在同一个主机商用处理器中运行，并共享其同一个物理执行上下文。但是，其执行在逻辑上与主 CPU 相互隔离，如下所示：

1. 通过主内存加密进行的内存隔离：

与在运行时将工作负载的代码和数据以明文形式保存到系统内存不同，许多具有机密计算能力的 CPU，

都在其内存控制器中嵌入了新的 AES-128 硬件加密引擎，负责在每次内存读／写时加密／解密内存页。因此，从内存中或易受攻击的操作系统中抓取数据的恶意系统管理员只能访问到加密的密文。加密密钥在硬件级别得到进一步的保护和管理，任何云的特权系统软件及其管理员都无法访问。

2. 其他基于 CPU 的硬件访问控制机制：

虽然加密操作保护了机密工作负载内存页的机密性，但其他类型的攻击仍然可能发生。例如，恶意主机操作系统可能会将同一个内存页分配给两个不同的进程。此外，作为重放攻击，它还可能更改您的加密内存值，从而无法保证机密工作负载的完整性。为了解决这一问题，具有机密计算能力的 CPU 实现了新的指令和新的数据结构，可帮助审计通常由特权系统软件执行的安全敏感任务，例如内存管理和对平台设备的访问。例如，用于读取映射到机密工作负载的内存页的新指令还应该返回上一次写入该页的前一个值，以便减少数据损失和重复攻击。

远程证明

好了，现在您的工作负载安全地运行在其自身的隔离可信执行环境中了。那么，是否真正安全地运行？如何验证您的云供应商未以正常的非机密方式部署您的工作负载？如何了解它是否将您的工作负载配置为真正的硬件 TEE？如果这样，如何验证其系统软件已经按照您希望的方式将应用程序加载到 TEE？您只能相信云供应商所说吗？大可不必。相反，在将机密配置到硬件 TEE 中并信赖其结果之前，应充分利用硬件 TEE 的远程证明功能。

至少，远程证明为您提供一个加密证明，包括：

可证明加载到 TEE 的软件完整性的度量/散列
散列上的加密签名，证实了所用的云 TEE 硬件是真实的，且未撤销

远程证明实施细节取决于底层硬件 TEE 和公有云供应商，这将是本系列下一篇博客探讨的主题。

公有云中的机密计算

机密计算是一种全行业性的工作，需要多方利益相关者的合作。在硬件方面，硅供应商已投入大量资源，来完善其 TEE 产品。举几个例子，我们的 X86 架构上有 Intel SGX、Intel TDX 和 AMD SEV；ARM 生态系统方面有 TrustZone 和即将推出的 ARM CCA；RISC-V 架构上有 Keystone。

公有云供应商（简称 PCP）一直是硬件可信执行环境的主要采用者之一。为了使用户更轻松运行机密工作负载，PCP 一直都致力于实现「迁移和提升」方法，通过该方法，整个虚拟机可在 TEE 中稳定地运行。

这意味着，开发者无需重构或重写他们的机密应用程序；而且这也意味着，客户操作系统需要优化，以支持用户应用程序充分利用平台的底层硬件 TEE 功能，并在虚拟机启动和休息时进一步保护虚拟机。

Google 云集团产品经理 Nelly Porter 表示：“Google 云控制台上提供了经优化的 Ubuntu LTS 图像，这些图像利用 Google 云的机密计算保护使用中的数据安全”“与 Canonical 一起，让基于 Ubuntu 的机密虚拟机部署变得简单易用。”

今天，我们的云机密计算组合包括 Google 云上的机密虚拟机。而这仅仅是开始！

Canonical 致力于实现机密计算的愿景，这仅仅标志着 Ubuntu 在各种公有云和计算类的机密计算能力的开始。我们期待着分享更多关于我们不断扩大的产品组合的新闻，并了解您利用机密计算的新方法。

查看更多内容

新吉祥物加冕礼：Noble Numbat

无论是通过民众投票、天意还是湖中仙女赐予王者之剑，登上王位的往往是声名显赫或出身高贵的人。在我们 20 周年前夕，很高兴向大家展示 Ubuntu 24.04 LTS 的吉祥物—— Noble Numbat（尊贵的袋食蚁兽）。低微出身说到 “尊贵”，人们可能很难首先想到来自澳大利亚的神秘有袋类动物——袋食蚁兽。不过它们的外表非常具有欺骗性。这些不可思议的濒危物种实际上是口袋大小的食蚁兽，它们完全以蚂蚁为食，依靠身体三分之一长的舌头捕捉蚂蚁。它们的背部有着黑白相间的条纹，像极了王袍，因而被选为西澳大利亚州的象征动物。袋食蚁兽象征着出身低微也能享誉世界的人。至高成就同样，Ubuntu 也从构建更加人性化的 Linux 这样一个初出茅庐的梦想发展成为一个备受信赖的平台 […]

基于 MicroK8s 和 Ubuntu 实时内核支持的 Intel FlexRAN 组件自动扩展

RAN 随着每一代移动通信技术的发展而不断演变，从而在用户设备和核心网络之间实现更快的数据传输。内部互连设备数量的增多使得数据量比以往任何时候都要多。至于现有的网络架构，其挑战在于处理不断增加的工作负载，以及更快地处理、分析和传输数据的能力。而对于 5G 生态系统，则需要实现 RAN 的虚拟化。第五代移动网络需要具备更大的灵活性以适应需求，具备可扩展性以满足运行时的网络条件，以及需要自动化以进行远程管理，而这些只能通过虚拟 RAN 来实现。 Intel FlexRAN 解决了传统 RAN 架构所面临的挑战。它能够从核心网络功能中将底层硬件抽象化，以实现最佳的资源利用。FlexRAN 是 O-RAN (OpenRAN) 的改进和参考实现，具有在不同供应商设备之间进行互操作 […]

云存储安全最佳实践

使用 Ceph 的安全功能确保数据安全如何将数据安全地存储在云存储系统中？数据对于任何企业组织而言如同王冠上的宝石，如果丢失或暴露，可能会造成严重的影响。如果不能防止系统故障，可能会导致业务数据的丢失，从而导致业务无法正常运营，最终导致业务失败。将敏感数据暴露给未授权方不仅会导致声誉受损，还可能导致企业遭受巨额罚款。本篇博客将详细介绍这些风险，以及如何使用 Ceph 的安全功能来减轻这些风险。首先，我们来了解一下数据泄露发生的一些最常见方式：实物盗窃／运输与存储相关的硬件、磁盘或整个存储系统的丢失可能导致敏感信息暴露。这可能发生在传统的入室盗窃情况下，即未经授权的一方进入数据中心并移除硬件，或者硬件在运输过程中（例如在返厂维修或更换时）被他人截获。另一种实体危 […]