谢谢您的订阅!
当新的内容发布后您将开始接收邮件。您也可以点击邮件内的链接随时取消订阅。关闭Close

什么是机密计算?面向首席信息安全官的高阶解释

by Canonical on 27 December 2022

隐私增强技术和机密计算是我们最喜欢谈论的两个话题!今天这篇博文,让我们来探讨两个好问题 – 什么是机密计算?它对我有什么影响?

在探讨细节之前,让我们想象一下,你是 PAlabs 的首席信息安全官(CISO,chief information security officer)。PAlabs 是一家领先的基因测序公司,专门对愿意将唾液放入小容器中并漂洋过海邮寄到此进行分析的好奇公民进行基因测序。作为交换,你们公司会为他们提供一份以数据为驱动、以科学为依据的概率报告,详细说明他们的祖先可能来自哪里。

PAlabs 以让我们看到人与人之间的联系如此紧密、追求数据与科学等等为傲!但作为 CISO,你却始终对客户代码和数据的完整性和机密性而感到担忧,因为 PAlabs 的所有工作负载都部署在公共云上!

你深知客户的数据有多敏感。这些数据都是可识别的个人信息。如果落入坏人之手,后果将不堪设想。不仅仅是你的个人客户的隐私会受到威胁,他们的孩子、父母、祖父母、兄弟姐妹、堂兄弟姐妹、叔叔的隐私也会受到威胁…。这样的例子还有很多,但我想你应该已经明白了。任何数据泄露都会损害公司多年努力打造起来的品牌形象,更不用说过去几年一直在稳步增长的股票价格了。

运行时的安全

为了降低这些风险,你决定跟踪公共云工作负载数据的动向,并在所有阶段确保数据的安全:

  1. 传输中:通过不安全的网络向公有云发送数据时,只能使用 TLS 等安全协议。
  2. 静止时:当数据处于静止状态或闲置在公共云存储器中时,为安全存储数据,你始终使用由你们公司生成和管理的密钥对数据进行加密,并由云硬件安全模块进一步加以保护。

传输中的安全?没有问题。静止时的安全?没有问题。目前为止,一切良好。

然而,当需要对数据进行计算(即进行基因测序)时,你的公共云提供商需要首先对其进行解密,然后以明文形式将其从服务器的二级存储器移动到其系统内存 RAM 中。对数据进行计算是不可避免的。毕竟,这正是你们公司使用云的原因:可以利用其弹性以及基因测序所需的大量计算资源。

遗憾的是,一旦处于系统内存中,你的代码和数据就有可能被易受攻击的或恶意的系统级软件(操作系统、管理程序、基本输入/输出系统)破坏,甚至被对你的供应商平台拥有管理员或物理访问权限的恶意云运营商破解。

但是为什么用户级应用程序的安全性要依赖于其底层系统软件的安全性呢?原因就在于商品设备的层次结构:拥有特权的系统软件可以无限制地访问无特权用户级应用程序的所有资源,因为前者控制了后者的执行、内存和对底层硬件的访问。事实上,这是一项功能,而不是一个漏洞!

运行过程中缺乏这样的安全保障,无法确保代码和数据的完整性和机密性,可能会让作为 CISO 的你夜不能寐。那现在除了冥思苦想和服用褪黑素,你还能做些什么呢。

机密计算 – Confidential Computing

首先我们要承认,运行时的安全是一个很棘手的问题!以 PAlabs 为例:

  • 你想要云分析客户的 DNA,但同时不想要云了解关于特定 DNA 的任何内容
  • 你希望云的特权系统软件管理工作负载的生命周期,但同时不会使工作负载的安全保障受到影响

如何在不实际查看数据的情况下对数据进行计算呢?怎么能指望一个易受攻击的管理程序不会威胁到它所运行的用户级应用程序的安全性呢?这是一个难解的谜题,甚至有了自己专门的命名:隐私增强技术(PET,privacy enhancing technologies)。

PET 可以定义为帮助我们解决数据隐私和实用性之间紧张关系的一系列技术。它们允许我们对数据进行计算并从中获得价值,同时还能保护数据隐私。这与 AES(advanced encryption standard,高级加密标准)等传统的加密原语不同。AES 只允许我们保护数据的机密性,但无法对加密的密文执行任何类型的操作。PET 可以通过差分隐私、同态加密、安全多方计算、零知识证明等加密方法以及可信执行环境(也称为机密计算,confidential computing,CC)等系统类方法实现。

基于这样的背景,机密计算联盟(Confidential Computing Consortium)将 CC 定义为允许我们「通过在基于硬件的可信执行环境中执行计算来保护使用中的数据的一系列技术。这些安全隔离的环境可以防止对使用中的应用程序和数据进行未经授权的访问或修改,从而为管理敏感和受监管数据的组织提高了安全保障。」

这就是机密计算如此令人振奋的原因!它解决了运行时不安全这一巨大挑战。机密计算并非试图确保所有系统软件的安全,而是采用一种简单而实用的方法来实现 PET,这种方法只在当前适用。

PET 预先认定,系统软件要么目前已经成为了恶意软件,要么在未来某个时候也有可能变成恶意软件。它认为它所启动的执行环境是不可信的,而建议在一个隔离的可信执行环境(TEE,trusted execution environment)中运行对安全性敏感的工作负载,可信执行环境的安全保障可以得到远程证明。

为了能够对 TEE 和机密计算展开思考,我们需要了解两个主要的原语:

  1. 隔离 – isolation
  2. 远程证明 – remote attestation

我们将在本迷你博客系列的第二部分中探讨如何设计和实现它们。请持续关注。

更多资源(英文)

订阅博客文章

订阅您感兴趣的主题

在提交此表格的同时,我确认已阅读和同意的隐私声明隐私政策。

查看更多内容

使用 Ubuntu Pro 和机密虚拟机加强云网络安全

在当今的数字环境下,各种规模的组织都提高了自身的云使用率。但随之而来的是攻击面明显增加,使安全成为了人们最关心的问题。本文中,我们将深入到激动人心的云网络安全世界,并在 Ubuntu 的帮助下探索更强大的方法来保护您的工作负载。 为什么操作系统的选择对云网络安全很重要? 首先,我们来讨论一下为什么操作系统的选择对安全性很重要。虽然开发商作出巨大的努力确保其应用程序的安全,但他们所提供的安全保证也只是拼图中的一小片。 一旦您的应用程序在生产平台上投入运行,威胁仍有可能来自特权系统软件,包括操作系统、虚拟机管理器和平台的固件。 通过设计,该软件可以访问您应用程序的所有资源,如果应用程序变成恶意的或受到损害,可能会泄露应用程序的所有敏感数据。因此,认识到操作系统的安全性是应用程 […]

Canonical 发布 MicroCloud:人人触手可及的低接触私有云

Canonical 正式发布 MicroCloud — 一款低接触开源云解决方案。MicroCloud 是 Canonical 不断增长的云基础架构产品组合中的一员,专为所有类型企业的可扩展集群和边缘部署而构建。其设计集简单性、安全性和自动化于一身,最大限度地减少了其部署和维护的时间与精力。MicroCloud 还作为 Canonical Ubuntu Pro 订阅服务的一部分,提供企业支持,有多个支持层级可供选择,并且按节点定价,非常方便。  使用单个命令即可完成云部署 优化的 MicroCloud 可实现可重复的可靠远程部署。单个命令即可启动各种组件的编排和集群,且用户的参与度非常低,数分钟内即可部署形成一个功能齐全的云。这种简化的部署过程大大降低了进入门槛,使得人人 […]

使用 MicroCeph 实现边缘存储

随时、随地—— MicroCeph 让边缘存储变得简单 数据无处不在,不仅存在于大型的集中式数据中心,而且还存在于较小的前哨,如零售店、远程或分支机构、拍摄地点甚至汽车。边缘存储的用例包括本地处理、在高网络延迟情况下无法进行的内容协作以及数据摄取(即对本地创建的内容进行捕获、保护,然后提供给其他系统)。 所有这些场景都有两个共同点:生成的数据至关重要,以及这些位置通常带宽有限。 从历史数据来看,其中部分用例会使用单板计算机,但随着时间的推移,数据的重要性提高,现在对性能和冗余有了更高的要求。而使用边缘存储即可满足这些新需求。 边缘存储解决方案允许在创建数据的地方安全存储并有效处理数据,无需将其传输到集中位置进行处理。这种方法可以实现安全、高性能的数据处理,不受延迟和带宽限 […]