科技

科技巨頭解決資訊安全的新方法 —— 機密計算

疫情時數據傳輸與安全更重要,尤其對企業而言,如何將工作負載及敏感資料安全傳到雲端,低成本完成遠端工作,是亟需解決的問題。

(示意圖源:互聯網)

(示意圖源:互聯網)

最近,Google 雲端推出新產品機密虛擬機(VM),這款基於機密運算的安全產品,有望推動更多公司將資料存在雲端,促進雲端市場發展。

什麼是機密運算?
Google 雲端安全副總裁表示,機密運算是突破性技術,使用這種技術,可加密數據傳輸。

對資安而言,主要包括靜態資料安全、資料傳輸安全和資料使用安全。

靜態資料安全可直接使用數據加密或令牌化等安全技術,即便從伺服器或資料庫複製數據,黑客也無法存取訊息。

要保證資料傳輸時安全,意味著當資料在伺服器和應用程式間傳輸時,未經授權的人不能看到資料。目前已經建立起 2 種較成熟的方法確保資料傳輸安全。

但資料使用安全,由於資料使用時只有明文資料(未加密或其他保護)才能在應用程式完成計算,意味著在這過程中惡意軟體可轉儲 RAM 內容以竊取資料,因此即便是在伺服器的硬碟驅動器加密資料,也無濟於事,所以保障資料儲存安全格外困難。

機密運算就是針對資料使用過程安全問題的解決方案。這是基於硬體的技術,將資料、特定功能、應用程式,同操作系統、系統管理程式或虛擬機管理器及其他特定進程隔離,讓資料存在受信任的執行環境(TEE),即使使用調試器,也無法從外部查看資料或操作。TEE 確保只有經過授權的代碼才能存取,如果代碼被篡改,TEE 將阻止操作。

機密運算對雲端運算的價值是什麼?
由於資料使用的安全問題,許多企業擔心敏感資料洩露,因此拒絕將敏感應用程式遷到雲端,一定程度阻礙公共雲端發展,但機密運算出現,就是試圖掃除此障礙。

目前機密運算為解決數據安全的新方法,在資安技術業漸漸發展起來。

去年 Google、微軟、阿里巴巴和 VMware 等幾家科技公司加入機密運算聯盟(CCC),齊心協力解決雲端運算的資料安全。CCC 為 Linux 基金會託管的開源社群,致力於定義和加速機密運算應用。

此外,Google 雲端的機密虛擬機(VM)為基於機密運算的安全產品,是第一款可加密使用中資料的工具,有代表性突破。

Google Cloud 安全總經理兼副總裁 Sunil Potti 表示,金融和醫療保健等領域的公司希望採用雲端技術管理資料工作,但資料隱私或合規性要求經常成為障礙。基於機密運算的安全工具,將簡化公司的資安作業,以便安全利用雲端創新。

機密虛擬機如何運作?
據 Google 雲端介紹,機密虛擬機建立在第二代 AMD 晶片 EPYC 處理器,透過較低的運算能力為客戶加密數據以完成機密運算,客戶能以加密方式在 Google 雲端運作。

Google 雲端表示,機密虛擬機的安全等級非常高,可解鎖新計算方案。這些機密虛擬機與真正用在加密和基於 N2D 高性能虛擬機相同,都是基於 AMD EPYC 安全加密虛擬化(SEV),可在保持性能同時,加密虛擬機器記憶體,利用 AMD 安全處理器生成密鑰,鎖定虛擬機器記憶體,不僅限制存取公司資料,還限制存取主機運行虛擬機。

此外,機密虛擬機將與 Google 的安全強化型虛擬機結合,為客戶提供額外機密影像。這為客戶將工作負載移到 Google 雲端提供更多動力。

儘管機密虛擬機可能促使更多企業使用雲端,同樣值得注意的是,機密運算應用仍處於起步階段,是否真能實際有效保護數據安全,有待進一步觀察◆

相關閱讀