什么是机密计算？面向首席信息安全官的高阶解释

by Canonical on 27 December 2022

隐私增强技术和机密计算是我们最喜欢谈论的两个话题！今天这篇博文，让我们来探讨两个好问题 – 什么是机密计算？它对我有什么影响？

在探讨细节之前，让我们想象一下，你是 PAlabs 的首席信息安全官（CISO，chief information security officer）。PAlabs 是一家领先的基因测序公司，专门对愿意将唾液放入小容器中并漂洋过海邮寄到此进行分析的好奇公民进行基因测序。作为交换，你们公司会为他们提供一份以数据为驱动、以科学为依据的概率报告，详细说明他们的祖先可能来自哪里。

PAlabs 以让我们看到人与人之间的联系如此紧密、追求数据与科学等等为傲！但作为 CISO，你却始终对客户代码和数据的完整性和机密性而感到担忧，因为 PAlabs 的所有工作负载都部署在公共云上！

你深知客户的数据有多敏感。这些数据都是可识别的个人信息。如果落入坏人之手，后果将不堪设想。不仅仅是你的个人客户的隐私会受到威胁，他们的孩子、父母、祖父母、兄弟姐妹、堂兄弟姐妹、叔叔的隐私也会受到威胁…。这样的例子还有很多，但我想你应该已经明白了。任何数据泄露都会损害公司多年努力打造起来的品牌形象，更不用说过去几年一直在稳步增长的股票价格了。

运行时的安全

为了降低这些风险，你决定跟踪公共云工作负载数据的动向，并在所有阶段确保数据的安全：

传输中：通过不安全的网络向公有云发送数据时，只能使用 TLS 等安全协议。
静止时：当数据处于静止状态或闲置在公共云存储器中时，为安全存储数据，你始终使用由你们公司生成和管理的密钥对数据进行加密，并由云硬件安全模块进一步加以保护。

传输中的安全？没有问题。静止时的安全？没有问题。目前为止，一切良好。

然而，当需要对数据进行计算（即进行基因测序）时，你的公共云提供商需要首先对其进行解密，然后以明文形式将其从服务器的二级存储器移动到其系统内存 RAM 中。对数据进行计算是不可避免的。毕竟，这正是你们公司使用云的原因：可以利用其弹性以及基因测序所需的大量计算资源。

遗憾的是，一旦处于系统内存中，你的代码和数据就有可能被易受攻击的或恶意的系统级软件（操作系统、管理程序、基本输入／输出系统）破坏，甚至被对你的供应商平台拥有管理员或物理访问权限的恶意云运营商破解。

但是为什么用户级应用程序的安全性要依赖于其底层系统软件的安全性呢？原因就在于商品设备的层次结构：拥有特权的系统软件可以无限制地访问无特权用户级应用程序的所有资源，因为前者控制了后者的执行、内存和对底层硬件的访问。事实上，这是一项功能，而不是一个漏洞！

运行过程中缺乏这样的安全保障，无法确保代码和数据的完整性和机密性，可能会让作为 CISO 的你夜不能寐。那现在除了冥思苦想和服用褪黑素，你还能做些什么呢。

机密计算 – Confidential Computing

首先我们要承认，运行时的安全是一个很棘手的问题！以 PAlabs 为例：

你想要云分析客户的 DNA，但同时不想要云了解关于特定 DNA 的任何内容
你希望云的特权系统软件管理工作负载的生命周期，但同时不会使工作负载的安全保障受到影响

如何在不实际查看数据的情况下对数据进行计算呢？怎么能指望一个易受攻击的管理程序不会威胁到它所运行的用户级应用程序的安全性呢？这是一个难解的谜题，甚至有了自己专门的命名：隐私增强技术（PET，privacy enhancing technologies）。

PET 可以定义为帮助我们解决数据隐私和实用性之间紧张关系的一系列技术。它们允许我们对数据进行计算并从中获得价值，同时还能保护数据隐私。这与 AES（advanced encryption standard，高级加密标准）等传统的加密原语不同。AES 只允许我们保护数据的机密性，但无法对加密的密文执行任何类型的操作。PET 可以通过差分隐私、同态加密、安全多方计算、零知识证明等加密方法以及可信执行环境（也称为机密计算，confidential computing，CC）等系统类方法实现。

基于这样的背景，机密计算联盟（Confidential Computing Consortium）将 CC 定义为允许我们「通过在基于硬件的可信执行环境中执行计算来保护使用中的数据的一系列技术。这些安全隔离的环境可以防止对使用中的应用程序和数据进行未经授权的访问或修改，从而为管理敏感和受监管数据的组织提高了安全保障。」

这就是机密计算如此令人振奋的原因！它解决了运行时不安全这一巨大挑战。机密计算并非试图确保所有系统软件的安全，而是采用一种简单而实用的方法来实现 PET，这种方法只在当前适用。

PET 预先认定，系统软件要么目前已经成为了恶意软件，要么在未来某个时候也有可能变成恶意软件。它认为它所启动的执行环境是不可信的，而建议在一个隔离的可信执行环境（TEE，trusted execution environment）中运行对安全性敏感的工作负载，可信执行环境的安全保障可以得到远程证明。

为了能够对 TEE 和机密计算展开思考，我们需要了解两个主要的原语：

隔离 – isolation
远程证明 – remote attestation

我们将在本迷你博客系列的第二部分中探讨如何设计和实现它们。请持续关注。

更多资源（英文）

查看更多内容

使用 Ubuntu Pro 和机密虚拟机加强云网络安全

在当今的数字环境下，各种规模的组织都提高了自身的云使用率。但随之而来的是攻击面明显增加，使安全成为了人们最关心的问题。本文中，我们将深入到激动人心的云网络安全世界，并在 Ubuntu 的帮助下探索更强大的方法来保护您的工作负载。为什么操作系统的选择对云网络安全很重要？首先，我们来讨论一下为什么操作系统的选择对安全性很重要。虽然开发商作出巨大的努力确保其应用程序的安全，但他们所提供的安全保证也只是拼图中的一小片。一旦您的应用程序在生产平台上投入运行，威胁仍有可能来自特权系统软件，包括操作系统、虚拟机管理器和平台的固件。通过设计，该软件可以访问您应用程序的所有资源，如果应用程序变成恶意的或受到损害，可能会泄露应用程序的所有敏感数据。因此，认识到操作系统的安全性是应用程 […]

新吉祥物加冕礼：Noble Numbat

无论是通过民众投票、天意还是湖中仙女赐予王者之剑，登上王位的往往是声名显赫或出身高贵的人。在我们 20 周年前夕，很高兴向大家展示 Ubuntu 24.04 LTS 的吉祥物—— Noble Numbat（尊贵的袋食蚁兽）。低微出身说到 “尊贵”，人们可能很难首先想到来自澳大利亚的神秘有袋类动物——袋食蚁兽。不过它们的外表非常具有欺骗性。这些不可思议的濒危物种实际上是口袋大小的食蚁兽，它们完全以蚂蚁为食，依靠身体三分之一长的舌头捕捉蚂蚁。它们的背部有着黑白相间的条纹，像极了王袍，因而被选为西澳大利亚州的象征动物。袋食蚁兽象征着出身低微也能享誉世界的人。至高成就同样，Ubuntu 也从构建更加人性化的 Linux 这样一个初出茅庐的梦想发展成为一个备受信赖的平台 […]

基于 MicroK8s 和 Ubuntu 实时内核支持的 Intel FlexRAN 组件自动扩展

RAN 随着每一代移动通信技术的发展而不断演变，从而在用户设备和核心网络之间实现更快的数据传输。内部互连设备数量的增多使得数据量比以往任何时候都要多。至于现有的网络架构，其挑战在于处理不断增加的工作负载，以及更快地处理、分析和传输数据的能力。而对于 5G 生态系统，则需要实现 RAN 的虚拟化。第五代移动网络需要具备更大的灵活性以适应需求，具备可扩展性以满足运行时的网络条件，以及需要自动化以进行远程管理，而这些只能通过虚拟 RAN 来实现。 Intel FlexRAN 解决了传统 RAN 架构所面临的挑战。它能够从核心网络功能中将底层硬件抽象化，以实现最佳的资源利用。FlexRAN 是 O-RAN (OpenRAN) 的改进和参考实现，具有在不同供应商设备之间进行互操作 […]