什么是机密计算?一个案例说清楚!
数据要素化、资产化背景下,数据安全也越来越重要,各类应用对数据的依赖程度不断提高,过度收集的隐私数据如何保护成为备受关注的话题。随着安全技术的发展,数据全生命周期中,通信和存储都有比较丰富的产品去保障安全,而数据使用过程的安全如何保护?成为智能时代的关键。今天就给大家介绍一个保护数据运行时安全的技术——机密计算。
为了更好的让大家理解机密计算的需求,我们举一个场景例子。
假设,您是一家基因测序公司的CISO(首席信息安全官),这家基因测序公司,专门对愿意将唾液放入小容器中并漂洋过海邮寄到此进行分析的好奇公民进行基因测序。作为交换,公司会为他们提供一份以数据为驱动、以科学为依据的概率报告,详细说明他们的祖先可能来自哪里,并且可以基于这些基因,做一些疾病的分析与预测。
这些数据和报告,涉及到用户最基础的隐私信息,其敏感程度超越了传统的个人信息,比身份相关信息更加具有隐私性。作为 CISO,你如何保障客户代码和数据的完整性和机密性?尤其是各类工作负载都部署在公共云上!
这些数据如果落入坏人之手,后果将不堪设想。不仅仅是客户的隐私会受到威胁,他们的孩子、父母、祖父母、兄弟姐妹、堂兄弟姐妹、叔叔的隐私也会受到威胁……
运行时的安全
为了降低这些风险,你可以跟踪公共云工作负载数据的动向,并在所有阶段确保数据的安全:
- 传输中:通过不安全的网络向公有云发送数据时,只能使用 TLS 等安全协议。
- 静止时:当数据处于静止状态或闲置在公共云存储器中时,为安全存储数据,你始终使用由你们公司生成和管理的密钥对数据进行加密,并由云硬件安全模块进一步加以保护。
传输中的安全?没有问题。静止时的安全?没有问题。目前为止,一切良好。
然而,当需要对数据进行计算(如前文所述的进行基因测序)时,公共云提供商需要首先对其进行解密,然后以明文形式将其从服务器的二级存储器移动到其系统内存 RAM 中。
遗憾的是,一旦处于系统内存中,代码和数据就有可能被易受攻击的或恶意的系统级软件(操作系统、管理程序、基本输入/输出系统)破坏,甚至被对供应商平台拥有管理员或物理访问权限的恶意云运营商破解。
那么,为什么用户级应用程序的安全性要依赖于其底层系统软件的安全性呢?原因就在于系统的层次结构:拥有特权的系统软件可以无限制地访问无特权用户级应用程序的所有资源,因为前者控制了后者的执行、内存和对底层硬件的访问。
运行过程中缺乏这样的安全保障,无法确保代码和数据的完整性和机密性,可能会让作为 CISO 的你夜不能寐。
机密计算 – Confidential Computing
从上面的分析,我们可以看出,运行时的安全是一个很棘手的问题!
- 系统需要云资源去分析客户的 DNA,但又不想要云资源了解关于特定 DNA 的任何内容;
- 希望云资源的特权系统软件管理工作负载的生命周期,但同时不会使工作负载的安全保障受到影响;
如何在不实际查看数据的情况下对数据进行计算呢?怎么让一个易受攻击的管理程序不会威胁到它所运行的用户级应用程序的安全性呢?这是一个难题,但也有解决方法,那就是隐私增强技术(PET,privacy enhancing technologies)。
PET 可以定义为帮助我们解决数据隐私和实用性之间紧张关系的一系列技术。它们允许我们对数据进行计算并从中获得价值,同时还能保护数据隐私。这与 AES(advanced encryption standard)等传统的加密原语不同。AES 只允许我们保护数据的机密性,但无法对加密的密文执行任何类型的操作。PET 可以通过差分隐私、同态加密、安全多方计算、零知识证明等加密方法以及可信执行环境(也称为机密计算,confidential computing,CC)等系统类方法实现。
机密计算是允许我们「通过在基于硬件的可信执行环境中执行计算来保护使用中的数据的一系列技术。这些安全隔离的环境可以防止对使用中的应用程序和数据进行未经授权的访问或修改,从而为管理敏感和受监管数据的组织提高了安全保障。」
这就是机密计算如此令人振奋的原因!它解决了运行时不安全这一巨大挑战。机密计算并非试图确保所有系统软件的安全,而是采用一种简单而实用的方法来实现 PET,这种方法只在当前适用。
PET 预先认定,系统软件要么目前已经成为了恶意软件,要么在未来某个时候也有可能变成恶意软件。它认为它所启动的执行环境是不可信的,而建议在一个隔离的可信执行环境(TEE,trusted execution environment)中运行对安全性敏感的工作负载,可信执行环境的安全保障可以得到远程证明。