??
人們常說“數據是新的石油”,考慮到企業創建和使用數字信息來推動業務發展的速度正在加快,很難不同意這種說法。但它的基本價值也導致數據和數據所有者經常受到不良行為者的攻擊,從嬉戲的孩子到老練的網絡罪犯。
這就要求企業格外警惕,以免其大量數據投資被侵蝕或掠奪。但是,當潛在的攻擊媒介和對公司信息的訪問點幾乎是無限的時候,警惕是遠遠不夠的。結果,諸如IBM之類的技術供應商正在積極研究強大的新技術,以保護客戶的寶貴數據資產的安全和機密。
本周,IBM Z Hybrid Cloud副總裁Rohit Badlaney和IBM Cloud副總裁兼CTO Hillary Hunter 發表了一個博客,討論了該公司在機密計算領域的努力,他們稱之為“安全領域的下一個前沿領域”。
改善數據機密性
那么,到底什么是機密計算?簡而言之,這個短語描述了在整個業務使用范圍內(從構建過程到管理功能再到數據驅動的服務和功能)全面保護信息的服務和解決方案。2019年8月,阿里巴巴、Arm、百度、IBM、英特爾、谷歌云、微軟和紅帽等廠商宣布成立保密計算聯盟。在Linux基金會的幫助下,成員們計劃大幅提高使用中數據的安全性。
如何保護“使用中的數據”?將其視為超越常規解決方案的合乎邏輯的下一步,例如在靜止狀態(在存儲環境中)和傳輸狀態(在網絡中移動)加密數據。從本質上講,機密計算聯盟旨在改善保持數據連續加密的方法,包括在內存中為業務應用程序和流程處理數據時。這樣做可以防止敏感或有價值的數據暴露給系統的其余部分(以及可能的入侵者),同時為用戶提供更大的安全性,透明度和控制力。
多個財團的創始人對該項目做出了初步貢獻,包括IBM的Red Hat共享用于運行受信任的執行環境(TEE)應用程序的Enarx,英特爾提供的Software Guard Extensions(SGX),用于在硬件層保護代碼的SDK和Microsoft提供的Open用于構建TEE應用程序的Enclave SDK。自成立以來,財團成員繼續致力于機密計算技術,該小組吸引了包括埃森哲,AMD,Facebook和Nvidia在內的新成員。
個別財團成員也在開發自己的產品。例如,在最近的Cloud Next會議上,Google宣布了一項新的云安全程序,即支持對加密數據進行處理的機密VM(虛擬機)。Google的機密VM使用 AMD EPYC安全加密虛擬化(SEV) 技術。
不幸的是,這些加密處理功能會損害整個系統的性能。盡管Google和AMD表示他們正在努力解決該問題,但根據AMD機密VM的基準測試,在解決該問題之前,客戶應該期望其速度降低1%至6%(取決于工作量)。
IBM對機密計算的關注
看到供應商合作開發重要的新技術真是太好了,但是IBM在宣布共同努力之前很早就在開發和提供機密計算解決方案和服務。Badlaney和Hunter的博客詳細討論了這些努力以及最新進展。例如,兩人指出,該公司于2018年3月的年度Think Conference上推出了Hyper Protect Services,宣布了其首個機密計算功能。
這些IBM Cloud Hyper Protect Services基于安全的飛地技術,該技術集成了硬件和軟件,并利用了公司所謂的“業界首個也是唯一的FIPS 140-2 Level 4認證的云硬件安全模塊(HSM)”。該產品組合現在包括三項服務:IBM Cloud Hyper Protect加密服務,Hyper Protect DBaaS和Hyper Protect虛擬服務器。這些為客戶提供了對敏感數據,關聯的工作負載和云加密密鑰的完全授權。
自該初始版本發布以來,IBM Cloud一直在討論保護客戶敏感數據和工作負載的至關重要性,并為Hyper Protect Services添加了新功能。其中包括滿足GDPR,ISO 27K,HIPAA就緒,IRAP保護和SOC 2 1類報告關鍵合規性要求的進步。對于全球企業和從事合規性行業的公司而言,這些功能至關重要。
當前,包括戴姆勒(Daimler)在內的客戶正在使用IBM生產就緒的機密計算解決方案。該公司還通過Apple CareKit開源GitHub社區中提供 的iOS版IBM Hyper Protect軟件開發工具包(SDK)將相同的技術引入了Apple CareKit。
Badlaney和Hunter指出了最近的進展,這些進展證明了IBM持續的機密計算勢頭:
IBM的z15下一代大型機和IBM LinuxONE III系統于2019年9月宣布,可提供高達16TB的安全內存,可支持機密計算工作負載。此外,IBM的Pervasive Encryption功能(支持內存中加密數據的處理)對整體系統性能的影響可忽略不計。
IBM和美國銀行正在開發可用于金融服務的公共云,該云由與IBM Z中相同的機密計算安全性提供支持。該解決方案通過IBM Hyper Protect Services提供,包括“保留自己的密鑰”加密功能。
IBM Secure Execution for Linux于2020年4月發布,使客戶能夠以粒度和規模隔離大量工作負載,從而幫助保護他們免受混合云基礎架構內部和外部威脅的侵害。
2020年6月,IBM宣布了新的工具包,允許MacOS和iOS開發人員嘗試完全同態加密(FHE),以保持數據的同步保護和處理。該公司將在7月下旬發布一個新的Linux FHE工具包,將FHE引入IBM Z和x86體系結構的多個Linux發行版中。
最終分析
機密計算協會等組織可以幫助確保有效開發和成功應用創新技術,從而為公司,行業和市場帶來廣泛的利益。但是,并不能因此而認為參與這些小組的供應商會以同樣的速度前進。有時,有些人會跑步并跑步,而另一些人仍在學習走路。
當涉及到IBM在機密計算方面的努力時,肯定是這種情況。其旗艦IBM Z大型機系統和LinuxONE服務器的不斷發展,使該公司在高度安全和靈活的企業級計算方面始終處于領先地位。毫不奇怪,IBM Z上最初出現的許多受信任的安全功能現在正在推動公司在機密計算領域的開拓性努力。
長期以來,這些創新一直受到IBM客戶和合作伙伴的贊賞。隨著眾多供應商將機密計算的優勢帶入更廣闊的市場,他們將遵循IBM等先驅者開辟的道路。
