疫情当下,数据的传输与安全变得更加重要。尤其是对于企业而言,如何将其工作负载以及敏感数据安全地传送到云中,低成本地完成远程工作,是当前亟待解决的问题。
上周,谷歌云推出一款新产品机密虚拟机(VM),这款基于机密计算的安全产品,有望推动更多的公司将数据储存在云端,促进云市场的发展。
什么是机密计算?
谷歌云安全副总裁表示,机密计算是一种突破性技术,使用这种技术,可以完成对数据的加密。
实际上,对于数据安全而言,主要包括静态数据安全、数据在传输中的安全和数据在使用中安全。
其中静态数据的安全,可以直接使用数据加密或者令牌化(Tokenization)等安全技术,即便是从服务器或数据库复制数据,黑客也无法访问信息。
要保证数据在传输过程中的安全,意味着当信息在服务器和应用程序之间传输时,未经授权的各方不能看到信息。目前已经建立起两种较为成熟的方法可以确保数据传输安全。
但对于数据使用安全,由于在数据在使用的过程中,只有明文数据(未经加密或其他保护的数据)才能在应用程序中完成计算,这就意味着在这一过程中,恶意软件可以转储内存中的内容以窃取信息,因此即便是在服务器的硬盘驱动器上对数据进行加密,结果也无济于事。所以,保障数据存储中的安全格外困难。
机密计算就是针对数据在使用过程中的安全问题所提出的一种解决方案。它是一种基于硬件的技术,将数据、特定功能、应用程序,同操作系统、系统管理程序或虚拟机管理器以及其他特定进程隔离开来,让数据存储在受信任的执行环境(TEE)中,即使是使用调试器,也无法从外部查看数据或者执行操作。TEE确保只有经过授权的代码才能访问数据,如果代码被篡改,TEE将阻止其继续进行操作。
机密计算对云计算的价值是什么?
此前,由于数据在使用中的安全问题,许多企业担心其敏感数据泄露,因此拒绝将一些敏感的应用程序迁移到云中,这在一定程度上阻碍了公共云的发展。但机密计算的出现,正在试图扫除这一障碍。
目前,机密计算作为一种解决数据安全的新方法在技术行业得到发展。
去年,谷歌、微软、阿里巴巴和VMware等几家科技公司加入了机密计算联盟(CCC),正其心协力解决云计算中的数据安全。CCC由Linux基金会托管的一个开源社区,致力于定义和加速机密计算的应用。
此外,谷歌云推出的机密虚拟机(VM)作为一款基于机密计算的安全产品,是第一款可以对使用中的数据进行加密的工具,具有代表性突破。
Google Cloud安全总经理兼副总裁Sunil Potti表示,金融和医疗保健等领域的公司希望采用云技术来管理其数据工作负载,但是,数据隐私或合规性要求经常成为障碍。基于机密计算的安全工具将简化这些部门中公司的安全运营,以便他们可以安全地利用云创新。
机密虚拟机如何运作?
根据谷歌云的介绍,机密虚拟机建立在第二代AMD芯片EPYC处理器上,通过较低的计算能力为客户加密数据以完成机密计算,客户能够以加密的方式在谷歌云上运行其工作负载。
谷歌云方面表示,机密虚拟机的安全级别非常高,可以解锁新的计算方案。这些机密虚拟机与真正用在加密和基于N2D高性能虚拟机相同,都是基于AMD EPYC安全加密虚拟化(SEV),该技术可以在保持其性能的同时,对虚拟机内存进行加密,利用AMD安全处理器生成密钥,从而锁定虚拟机内存,不仅限制了公司数据的访问,还限制了主机上运行虚拟机的访问。
此外,机密虚拟机将与谷歌的安全强化型虚拟机结合,为客户提供额外的机密影像。这为客户将工作负载转移到谷歌云上提供了更多的动力支撑。
尽管机密虚拟机的出现可能促使更多的企业使用云服务平台,同样值得注意的是,机密计算在应用方面仍然处于起步阶段,是否真的能在实际应用中有效保护数据安全,还有待进一步观察。
