内存只是数据安全难题的一部分( 二 )

但我们知道，使用中的数据是数据加密领域的一个弱点。加密静态数据和加密传输中的数据，这个流程已经存在整个科技行业得到广泛实施，但企业在处理信息时没有任何可靠的方法来保护信息，这就是机密计算联盟希望解决的问题。
有一种被称为“机密计算”的新兴框架由此诞生， “机密计算”一词是由微软创造，微软也是该联盟的主要支持者和创始成员之一，其他成员还包括阿里巴巴、Arm、百度、谷歌云、IBM、英特尔、红帽和腾讯。旨在通过在基于硬件的可信执行环境(TEE)中隔离计算来保护使用中的数据。在处理数据时，数据在内存中加密，在CPU之外的其他地方加密。
这些科技公司寄希望于一个名为Open Enclave Software Development Kit的开源框架，该框架最初是由微软开发的，用于构建可以运行在多种类型计算机体系结构上的所谓“可信执行环境应用” 。

本文插图
英特尔SGX允许创建受信任的执行环境，这是主处理器的一个安全区域，它可以保证加载在其中的代码和数据，并在保密性和完整性方面受到保护。
机密计算已被软件和硬件厂商推广，包括谷歌，它最近宣布了将其应用于容器工作负载的功能，英特尔还通过其Intel software Guard扩展为微软Azure等云提供商提供一个可信的空间(TEE) 。通俗的讲就是把你的数据单独放在一个安全的环境里执行操作，普通操作系统和应用程序无法直接访问 TEE 的硬件和软件资源。
机密计算需要共享安全责任。英特尔产品保证和安全架构高级首席工程师Simon Johnson表示，人仍然是最薄弱的环节。
英特尔支持开发者执行代码来保护数据。与此同时，机密计算运动源于企业要求处理数据而不考虑来源，包括敏感的医疗保健信息、财务记录和知识产权。
平台提供商应该不能看到数据。 “让尽可能多的人远离你的东西。 ”
英特尔SGX包括基于硬件的内存加密，隔离特定的应用程序代码和内存中的数据。它允许用户级代码分配私有内存“enclave” ，目的是在与在更高特权级别上运行的进程隔离。
据悉Open Enclave仍处于开发阶段，但由于可信执行环境已经被普遍采用，因此相信进展会相当快。可信执行环境指的是计算机芯片上的一个安全区域，用于加密芯片上加载的数据和代码，使处理器的其他部分无法访问这些数据。换句话说，可信执行环境提供了一个隔离的执行环境来保护正在使用中的数据， Open Enclave SDK则是利用这个环境开发应用的一个通用框架。
英特尔框架还被设计用于帮助防止基于软件的攻击，即使操作系统、驱动程序、BIOS或虚拟机管理器受到威胁，英特尔框架也会有所措施。
机密计算将支持在用户不拥有的大型数据集上进行分析负载等工作。它还允许在更接近工作负载的地方执行加密密钥，从而提高了延迟。 “今天，我们只用软件来提供保护， ”“在这种环境下，我们没有硬件保护措施。 ”
Johnson表示， “机密计算”将通过硬件和软件生态系统保护数据或代码的处理，该系统由保密计机密计算联盟授权。

本文插图
Virtium的Phillips指出，易用性会增强安全性。 Push-button记忆加密是其最终的目标， “而全面的安全将来自于额外功能。 ”
这个想法不仅是为了加密内存，也是为了确保完全的数据隔离，以确保一个安全的环境。 “机密计算代表的不仅仅是加密内存。 ”
【内存只是数据安全难题的一部分】它还关乎适应一个异质世界。 “在使用数据时，你必须提供一层访问控制，并能够证明你在使用软件，数据在某个特定区域。 ”