数据保护最新趋势?保密计算
一些花招只适用于魔术,不适用于数据保护。然而,许多企业在不了解的情况下恰恰以信息安全的名义部署了这种障眼法。Fortanix 机密计算副总裁 Richard Searle 说,一些公司可能觉得他们保障了数据安全,但大多数保护机制都仅关注传输中或静态的数据,而不是实际使用或处理中的数据。Fortanix 是一家数据安全公司。
为了达到最严格的安全性,企业需要硬件强制的可信任执行环境,保证数据处理的安全。这一做法被称为机密计算,Searle 补充道。
机密计算数据安全的优势
多年来,医疗保健和金融等领域的公司通过将数据匿名化来满足安全协议,从而保护患者或用户身份隐私。Searle 说,但是要在保证数据真实性的情况下实现匿名化是很难的。“尽管他们的个人信息已经用标记进行替代,但是仍然有可能从它们的来源数据集中解析出来,从而得到他们的身份信息,”他说。
标记限制了数据的充分使用,所以不是所有功能都能够顺利执行。即便数据在静态或传输过程中已加密,但处理时会进行解密不受保护,所以在这些过程中数据易受攻击。
另一方面,机密计算通过释放数据的潜力发挥作用,同时保护各种状态下的数据:静态、传输和使用。机密计算的另一个重要优势是,能够轻松追溯线索,并为审计师提供必要的合规文档。
机密计算还加强了零信任架构 – 一种流行的数据安全解决方案。零信任要求对信息处理链中的每个操作进行分解、每个步骤进行验证。
“机密计算可以提供帮助,因为它可以做两件事:验证部署数据的可信任执行环境,并验证部署在其中的软件可信度,” Searle 说。“机密计算和其他零信任工具如机器和用户的身份和访问管理工具相结合,是一项重要的技术,因为它在网络中提供了数据保护服务。”
可信执行环境的数据安全
机密计算保护可信任执行环境 (TEE) 中的数据,这是处理器中受保护的一块内存区域。这些安全区通过硬件管理的密匙进行了加密,操作系统和管理程序无法访问。“当您应用机密计算时,数据仅在 TEE 的范围内进行解密。“它帮助您保护由 CPU 处理的敏感的数据和应用,” Richard Searle 说道。
Fortanix CC 解决方案是其机密计算管理器,作为企业应用与底层硬件和可信执行环境之间的中间件层级。“对于本地和云部署而言,管理器还需要生成必要的加密证明与验证,以证明信息已安全部署并依据法律、组织政策义务进行了处理,” Searle 说。
英特尔在机密计算中发挥的作用
英特尔在其硬件/软件解决方案堆栈中设计了可信执行环境所需的关键组件,也称为“安全区”:
- 英特尔® Software Guard Extensions(英特尔® SGX)支持单个应用的周界保护,敏感数据可以安全、私密运行,不需要信任底层基础设施和操作环境。组织可以将软件和数据放入安全区进行沙盒处理,使用硬件级加密密钥和信任证书。
- 英特尔® Trust Domain Extensions(英特尔® TDX)支持虚拟机的周界保护,可应用机密计算,能将当前虚拟工作负载轻松迁移。
这些技术与第四代英特尔® 至强® 可扩展处理器相结合,可支持更广泛的应用。“第四代至强处理器等现代处理器非常强大,拥有大量可用于部署可信执行环境的内存,所以我们可以运行非常复杂的企业级应用和 AI 系统,” Searle 说。“我认为这将促进机密计算的增长与采用。”
机密计算用例
机密计算在处理高度机密的数据、或企业无法保证底层基础设施信任时最为实用。举例来说,您将数据迁移至云,“使用其他人的基础设施平台,但不希望拥有根权限的云管理员能够访问您的信息,” Searle 说。
用例还有很多。比如,Fortanix 帮助 BeekeeperAI 的客户利用机密计算来安全部署 AI 和 ML 模型。BeekeeperAI 帮助研究人员快速验证和迭代模型,并支持医疗保健团队的安全协作。医疗保险公司 Zuellig Pharma 推出了数字健康交换,运用机密计算支持亚太地区十几个国家的数据交换。“这是机密计算在数据使用和移动的不同用例中提供创新的另一个案例,” Searle 说。
他说,尽管医疗保健和金融业已证明是机密计算最初的测试领域,但其实施并不局限于这些领域。“增强安全形势的需求为机密计算提供了背景,”他补充说。
接下来我们将看到:边缘 AI 的机密计算用例“我们正在研究如何保护边缘数据,以便在基于边缘的设备上提供本地处理,” Searle 说。Fortanix 机密计算管理器也可以在边缘投入使用,因为无论它在哪里,都负责管理硬件。
“客户群体现在都能够接受采用机密计算;这意味着在数据和应用需要保护的特定用例中,部署这项技术的需求将会增长,” Searle 说。
无论是在云中还是在边缘。