在今天常见的数据保护方式中，通常只在存储和网络传输的过程中对数据进行了加密保护，但在内存中使用数据时则不对其进行加密保护。此外，在传统的计算基础设施中对使用中的数据和代码进行保护存在诸多能力上的限制。与此同时，相关组织需要对处理个人识别信息（PII）、财务数据或健康信息等敏感数据的应用和内存中的敏感数据提供机密性和完整性保护，以免受针对它们的安全威胁。

机密计算通过在基于硬件的可信执行环境（TEE）中执行计算的方式来保护使用中的数据。 这些安全的、隔离的环境可防止对使用中的应用程序和数据进行未经授权的访问或篡改，从而提升相关组织在管理敏感数据和受监管数据方面的安全级别。

为什么需要机密计算？

数据的状态

在计算的过程中，数据存在三种状态：传输中、静止和使用中。数据于网络中传输属于“传输中”状态，存储的数据属于“静止”状态，正在处理的数据属于“使用中”状态。在这个世界上，我们不断地存储、使用和共享各种敏感数据：从信用卡数据到病历，从防火墙配置到地理位置数据。保护处于所有状态中的敏感数据比以往任何时候都更为重要。如今被广泛使用的加密技术可以用来提供数据机密性（防止未经授权的访问）和数据完整性（防止或检测未经授权的修改），但目前这些技术主要被用于保护传输中和静止状态的数据，目前对数据的第三个状态“使用中”提供安全防护的技术仍旧属于新的前沿领域。

使用中的数据所面临的安全风险

随着对处于传输中和静止状态的数据提供防护的加密技术的广泛使用，针对网络和存储设备的威胁向量已经遇到了阻碍，因此攻击者已转向对使用中的数据进行攻击。 整个业界已经目睹了几次引人注目的基于内存的攻击手段，如Target安全事件和CPU侧通道攻击，这些攻击大大增加了人们对使用中数据安全的关注，以及几次涉及恶意软件注入的攻击手法，如Triton攻击和乌克兰电网攻击。

此外，随着越来越多的数据迁移到了云端进行处理，传统的网络安全和物理安全防护机制在防范攻击的能力上越来越有限。已被广泛研究的针对云应用的攻击模式包括虚拟机逃逸、容器逃逸、固件损坏和内部威胁。虽然每种攻击模式都使用了不同的攻击技术，但它们的共性是被攻击对象都是使用中的代码或数据。传统的保护数据在传输和静止状态的安全防护措施仍然是实施良好纵深防御策略的重要组成部分，但它们无法处理云场景下敏感数据在使用中的数据安全。

已经越来越多的关于数据安全的法规，如通用数据保护条例（GDPR）和加州消费者隐私法（CCPA），可能会让负责保管客户数据的实体因数据泄露而承担直接的法律责任。由于违反GDPR规定的数据泄露法规所处的罚金可能高达年总收入的4%，强烈建议负责数据保管的实体在思考如何保护潜在的攻击面的时候，也要将保护使用中的数据纳入考量。

随着越来越多的数据需要在移动设备、边缘设备和物联网设备上进行存储和处理，实际进行数据处理的地方往往在远端且通常是难以确保其安全性的地理位置，因此在执行过程中对数据和应用程序提供保护变得越来越重要。此外，由于个人信息存储在移动设备上，移动设备制造商和操作系统提供商需要证明：它们访问个人数据的过程是受到保护的，即确保在共享和处理个人信息的过程中，设备供应商或第三方无法观察到这些个人数据，同时还要确保这些安全防护符合监管要求。

即使用户控制了所有的基础设施（比如专有云用户），对最敏感的数据提供使用时数据保护也是实施良好纵深防御策略的重要组成部分。

本文内容来源于机密计算联盟发布的白皮书Confidential Computing: Hardware-Based Trusted Execution for Applications and Data v1.2