微软近日在其开源博客中澳门新葡萄京所有网站,宣布加入机密计算联盟(Confidential
Computing Consortium,简称
CCC)。该组织致力于定义和加速推进机密计算的采用,并将托管在 Linux
基金会。联盟创始成员还包括阿里巴巴、Arm、百度、谷歌、IBM、英特尔、红帽、瑞士电信和腾讯等科技公司,它提供了一个让行业聚集起来的机会,以促进使用机密计算来更好地保护数据。

澳门新葡萄京所有网站 1

澳门新葡萄京所有网站 2

8月22日消息,今天,Linux基金会宣布多家巨头企业组建“机密计算联盟”,该基金将负责对联盟活动进行监督。机密计算联盟专门针对云服务及硬件生态,致力于保护计算数据安全。联盟创始成员包括阿里巴巴、Arm、百度、谷歌云、IBM、英特尔、微软、红帽、瑞士通和腾讯,不包括全球最大的云服务器运营商亚马逊。

建立机密计算联盟的需求源于这样一个事实:随着计算从内部部署转移到公共云和边缘,对数据的保护变得更加复杂。当前的数据保护通常作用于静态(存储)或(网络)传输状态的数据。但是当数据正在被使用时,仍然存在风险,这也是数据保护中最具挑战性的一个步骤。

随着云计算及人工智能技术的发展,云办公、云笔记、图文云处理等应用使人们的工作和生活更加便捷。同时,人们对于数据隐私的担忧也由此升级。越来越多的商业机密、人脸指纹等特征数据被存储在云上,这能让我们长久放心吗?机密计算联盟致力于解决这一问题。该联盟积极寻求基于硬件和软件的技术解决方案,用以在处理计算机内存时隔离用户数据。通过机密计算方案,敏感数据能免于被暴露给其他应用程序、操作系统或者服务器租用者。

因此,机密计算将侧重于保护使用中的数据,并为敏感数据提供完全加密的生命周期。它将在内存中处理加密数据,而不会将其暴露给系统的其余部分,并减少敏感数据的暴露,为用户提供更好的控制和透明度。

目前,联盟主要的策略方法是可信执行环境技术方案。英特尔、微软、红帽还围绕此方案共享了开源工具。

“保护使用中的数据意味着数据在计算过程中不会以未加密的形式显示,得到访问授权的数据除外”,微软
Azure 首席技术官 Mark Russinovich
表示,“也就是说甚至连公共云服务提供商或边缘设备供应商都可能无法访问它,数据将完全处于私密状态。”

一、用可信执行环境技术保护计算安全

机密计算功能可以做到协作共享数据——例如训练多方数据集机器学习模型、对多方数据集执行分析,或是在数据库引擎中启用机密查询处理——但同时无需对这些数据进行直接访问。

支持机密计算实践的最简单方法是利用TEE,TEE是相对于普通执行环境来说的。

澳门新葡萄京所有网站 3

REE包括运行在通用的嵌入式处理器上的普通操作系统及其上的客户端应用程序。尽管人们在REE中采取了很多诸如设备访问控制、设备数据加密机制、应用运行时的隔离机制、基于权限的访问控制等安全措施,仍无法保证敏感数据的安全性。

目前,联盟成员已经为机密计算做出了一些开源贡献,包括:

TEE是运行于普通操作系统之外的独立运行环境,其向一般操作系统提供安全服务并且与普通操作系统隔离。普通操作系统及其上的应用程序无法直接访问TEE的硬件和软件资源。TEE技术方案可以为不安全的操作系统提供安全的服务。

  • 英特尔®软件保护扩展(英特尔®SGX)软件开发套件,旨在帮助开发人员使用受保护的代码和数据,避免数据在硬件层被泄露或修改。
  • 微软 Open Enclave
    SDK,这个开源框架创建了一种可插入的通用方法来创建可再发行的可信应用程序,以保护正在使用的数据。
  • 红帽
    Enarx,为可信执行环境(TEE)提供平台抽象,支持创建和运行“私有、可替换、无服务器”的应用程序。

▲TEE层次架构图

Linux 基金会执行董事 Jim Zemlin
表示,现有的联盟只是一个开始,后续将会有更多企业加入。

TEE技术通常用于云计算。在云计算中,一台服务器会被多个客户分享,面对数据处理的风险,云服务提供商用TEE技术来保护这些数据。

(文/开源中国)    

其实,除了云计算,许多普通的应用程序也可以使用TEE技术方案。例如,如果想保护智能手机上的机密数据,可以用TEE技术来隔离指纹的采集、存储、验证等过程,即使手机被越狱或Root,攻击者也无法获取指纹数据。

推进TEE技术的使用将是机密计算联盟的主要目标之一。通过为TEE技术提供开源工具、建立监管标准以及在其客户和开发人员社区中开展教育活动,联盟成员都可以帮联盟实现目标。

二、英特尔、微软、红帽共享开源工具

除了宣布机密计算联盟的成立,英特尔、微软和红帽将为联盟共享三种开源工具。多年以来,这几个工具一直是开放的开源项目。但是据称,在这些开源工具贡献出来之后,它们的开发主导权就属于联盟,而不是原主人了。这三款工具分别是:

1、英特尔软件保护扩展开发套件。这款套件是为了帮助应用开发者保护所选择的代码和数据,避免代码和数据在硬件层次被泄露或修改。

2、微软开放飞地软件开发套件。“飞地”也是TEE技术的别称。这是一个开源框架,允许开发者通过建立抽象的TEE技术,进而一次构建跨多个TEE体系结构运行的应用程序。

3、红帽Enarx。为TEE方案提供一个虚拟的平台,以支持创建和运行“私有”、“可替换”、“无服务器备份”的应用程序。

不过,目前为止这个联盟工具阵容中缺少了谷歌云的Asylo。就像前面的三个工具一样,Asylo是一种开源框架和软件开发组件,能用于开发在TEE方案中运行的应用程度。谷歌云并没有正式宣布将其Asylo的领导权转移给联盟。

文章来源:智东西