跳转到主要内容

热门内容

今日:


总体:


最近浏览:


Chinese, Simplified

什么是机密计算?

机密计算是一种使用安全飞地技术的方法,可以基于CPU供应商提供的安全特性创建可信执行环境(TEE)。TEE允许在CPU内进行加密/解密、内存和数据隔离,以及其他因CPU供应商而异的安全功能。安全飞地技术是机密计算的基础。

云端及其以外的硬件级隐私

数据泄露的风险是巨大且持久的。它威胁到云本身的信任、完整性和生存能力。计算机科学已经解决并克服了对存储中的静态数据和网络传输中的数据进行加密的问题。但棘手的问题仍然存在:如何保护内存中实际使用的数据和代码——这个目标似乎受到传统计算架构本身的限制。使用软件加密隐藏数据的尝试失败。计算硬件要求加密密钥在使用前解密并在内存中公开,从而使其容易受到黑客或内部人员的攻击。

作为回应,机密计算通过安全飞地(通常与TEE互换使用)创新了前所未有的硬件级体系结构安全方法。Confidential Computing特别关注使用中的数据的安全,通过保护内存来消除数据在处理过程中未加密时的致命缺陷。

消除风险:默认建立数据安全和隐私

只要使用中的数据暴露在外,敏感的个人身份信息(PII),财务或健康信息在云中仍然存在风险。安全实体一直在努力消除网络威胁,但这场恶作剧的游戏往往输给了高价值信息的泄露和过滤。需要的是,未经修改的工作负载应用程序和数据系统内存能够在任何环境中的任何地方运行,完全与内部和外部攻击隔离。

现在,机密计算解决了在安全空间内隔离数据和执行的问题。使用CPU的一部分作为保护区或飞地,可以创建一个可信执行环境(TEE)。安全的飞地是一个内存和CPU专用环境,它与给定主机上的所有其他用户和进程隔离,并且对它们不可见。在一个安全的飞地内,代码只能引用自身。

保护领地安全:一项重大进展,但部署起来很复杂

实施安全封包既复杂又昂贵,需要重新设计每个应用程序。飞地要求工程师和专家亲自参与,这将运营费用提高到不切实际的高度。每个芯片和云提供商都创建了自己的飞地解决方案:Intel SGX、Azure、AMD SEV、AWS Nitro Enclaves和Google VM。但是,这些努力无论多么值得,都为已经维护本地、混合和多云环境的客户创造了一个令人眼花缭乱的选择领域。他们必须学习各自的安全飞地技术,这会增加工程人员、时间、应用程序性能和成本方面的开销。

化解未经授权的内部人士和外部威胁

在不降低IT生产力的情况下加强安全性是一个令人困惑的安全挑战,云只会加剧这一挑战,暴露出对IT云平台提供商的员工和第三方承包商的控制有限的问题。内部人员获得主机访问权限来执行其工作,这会使他们过度暴露于主机数据。为了一个组织的安全,需要一个报复心强、注意力不集中或机会主义的员工。

但机密计算关闭了“可信的内部人员”数据暴露和外部威胁。它确保了独占的数据控制和硬件级别的数据风险最小化;数据保护是数据本身的组成部分,无需依赖薄弱的外围安全层。数据所有者控制数据在it计算、存储和通信的基础架构中存储、传输或使用的任何位置。

Anjuna软件:默认保护数据

Anjuna机密计算软件不需要重新设计应用程序或内核。客户无需担心芯片或云基础设施级别的底层TEE。应用程序和整个环境在公共云基础设施上创建的私有环境中无需修改即可工作。在几分钟内,Anjuna自动创建了一个隔离且坚固的硬件加密环境,应用程序在其中运行并扩展机密计算硬件技术,以保护使用中、传输中和静止的数据。

Anjuna的独特之处是什么?

多平台和多云支持。

企业无需锁定在一个硬件平台或云上。Anjuna支持Intel、AMD和AWS Nitro Enclaves平台以及本地Kubernetes Key管理解决方案,适用于任何环境:内部部署、混合或多云。无需修改即可跨任何飞地平台执行工作负载。

无性能影响。

使用Anjuna,所有TEE技术都预先调整了环境。因为应用程序不需要重新编码,所以在软件的隔离环境中运行的延迟最小。

在几分钟内大规模加强安全性。

在每个应用程序周围快速创建一个隔离的安全环境,以显著减少攻击面并保护应用程序,即使基础架构遭到破坏。

全方位包覆

通过硬件和软件的全栈加密,将保护范围从内存扩展到存储和网络。运行应用程序时,数据被隔离,任何其他实体都无法访问;内存与机器上的任何其他东西都是隔离的,包括操作系统。

透明数据共享。

Anjuna软件使企业能够通过认证安全飞地运行的硬件为正版,在分布式应用程序上使用硬件信任根。这证实了飞地内存对远程方的完整性。

探索这些机密计算用例

安全云迁移

将应用程序迁移到云,其安全姿态超过本地保护。Anjuna扩展了机密计算技术提供的强化安全功能,并使任何公共云成为敏感企业应用程序和数据最安全的地方。云经济和强大的安全性之间不再妥协。

数据库保护

即使是安全的数据库也会在内存中存储未加密和公开的数据。Anjuna确保数据库及其数据在隔离的私有环境的安全范围内运行。通过加密和物理方式将数据与恶意进程和不良参与者隔离,实际上消除了数据泄露或渗出的可能性。

数据保护

Anjuna提供了最强大、最完整的数据安全和隐私控制。创建、处理、存储和联网的敏感数据受到基于硬件的零信任保护的保护,在整个生命周期中保护PII免受内部人员和不良行为者的侵害。数据默认受保护,包括密钥、PII、PHI、PCI、IP、专有算法、商业机密等。

加密MPC和区块链保护

见Anjuna首席技术官兼联合创始人Yan Michalevsky,讨论区块链应用的安全飞地、加密密钥和基础设施的安全存储,以及区块链和加密货币的挑战。Anjuna为加密公司保护MPC应用程序、数字资产、数字钱包、托管交易所、NFT和AI/ML算法。

密钥管理系统(KMS)

有了机密计算,您现在可以现代化和扩展KMS功能,并禁止访问在隔离环境中运行的KMS应用程序。Anjuna与HashiCorp和Venafi合作,保护密钥和机密,甚至防止具有root访问权限的攻击者获取身份验证凭据。

强化的DevSecOps

DevSecOps管道的手动安全和审计流程可能是软件供应链受损的主要风险向量。这些缓慢的劳动密集型流程可能使迅速识别管道攻击变得困难。使用Anjuna在安全的飞地内运行应用程序可以提供基于硬件的软件组件完整性证明,从而更广泛地保护软件供应链。

本文:https://jiagoushi.pro/what-confidential-computing-and-why-it-important-…

最后修改
星期四, 一月 5, 2023 - 21:58
Article