企業(yè)對(duì)云服務(wù)的需求如今呈現(xiàn)爆炸式增長(zhǎng),使得對(duì)高度安全的云平臺(tái)的需求變得更加迫切。許多處理敏感數(shù)據(jù)的企業(yè)都對(duì)將業(yè)務(wù)遷移到云平臺(tái)感到擔(dān)憂,這并非沒有理由。
一段時(shí)間以來,公有云實(shí)際上可以比企業(yè)的內(nèi)部部署設(shè)施提供更多的保護(hù)。云計(jì)算供應(yīng)商的專家團(tuán)隊(duì)可以確保云計(jì)算服務(wù)器保持最佳的安全狀態(tài),以抵御外部威脅。
但是,實(shí)現(xiàn)這種安全水平需要付出一定的代價(jià)。由于業(yè)務(wù)運(yùn)行在云平臺(tái),將導(dǎo)致企業(yè)面臨數(shù)據(jù)泄露的風(fēng)險(xiǎn),并使合規(guī)性工作變得更加復(fù)雜。
芯片、軟件和云計(jì)算基礎(chǔ)設(shè)施中數(shù)據(jù)安全技術(shù)的最新發(fā)展正在改變這一現(xiàn)狀。通過有效地鎖定內(nèi)部工作人員或外部攻擊者的數(shù)據(jù)訪問權(quán)限,新的安全功能將公有云轉(zhuǎn)變?yōu)橐环N受信任的數(shù)據(jù)安全環(huán)境——機(jī)密云。
這樣就消除了即使是最敏感的數(shù)據(jù)和應(yīng)用程序也無法實(shí)施全面遷移的最后一個(gè)安全障礙。利用這種具有安全性的機(jī)密云,企業(yè)現(xiàn)在可以在任何地方獨(dú)家擁有自己的數(shù)據(jù)、工作負(fù)載和應(yīng)用程序。
現(xiàn)在,即使是全球一些最注重安全性的企業(yè),也都將機(jī)密云視為存儲(chǔ)、處理和管理數(shù)據(jù)的最安全選擇。機(jī)密云的吸引力是基于專有數(shù)據(jù)控制和將數(shù)據(jù)風(fēng)險(xiǎn)降低到硬件級(jí)別的承諾。
什么是機(jī)密云?
在過去的一年中,關(guān)于機(jī)密計(jì)算的討論很多,包括安全飛地或可信執(zhí)行環(huán)境(TEE)。現(xiàn)在,這些服務(wù)器可在基于Amazon Nitro Enclaves、Intel SGX(軟件保護(hù)擴(kuò)展)和AMD SEV(安全加密虛擬化)芯片構(gòu)建的服務(wù)器中使用。
機(jī)密云利用這些技術(shù)來建立安全且不可穿透的加密邊界,該邊界從信任的硬件進(jìn)行無縫擴(kuò)展,以保護(hù)使用中的、靜止的和運(yùn)行中的數(shù)據(jù)。
傳統(tǒng)的分層安全方法在數(shù)據(jù)和不良行為者之間設(shè)置障礙,或者為存儲(chǔ)或通信提供獨(dú)立的加密,機(jī)密云則提供了與數(shù)據(jù)本身不可分離的強(qiáng)大數(shù)據(jù)保護(hù)。反過來,這消除了對(duì)傳統(tǒng)外圍安全層的需求,同時(shí)使數(shù)據(jù)所有者可以在存儲(chǔ)、傳輸或使用數(shù)據(jù)的任何位置進(jìn)行控制。
由此產(chǎn)生的機(jī)密云在概念上類似于網(wǎng)絡(luò)細(xì)分和資源虛擬化。但是,機(jī)密云不僅可以隔離和控制網(wǎng)絡(luò)通信,而且將數(shù)據(jù)加密和資源隔離擴(kuò)展到IT、計(jì)算、存儲(chǔ)和通信的所有基本元素。
機(jī)密云匯集了在與云計(jì)算運(yùn)營(yíng)內(nèi)部人員、惡意軟件或潛在網(wǎng)絡(luò)攻擊者隔離的可信執(zhí)行環(huán)境中機(jī)密運(yùn)行任何工作負(fù)載所需的一切。
這也意味著即使服務(wù)器受到物理攻擊,其工作負(fù)載仍然是安全的。即使網(wǎng)絡(luò)攻擊者具有對(duì)服務(wù)器的root訪問權(quán)限,也可以有效地阻止其查看數(shù)據(jù)或訪問數(shù)據(jù)和應(yīng)用程序,從而提供傳統(tǒng)的微分段技術(shù)無法提供的安全級(jí)別。
比內(nèi)部部署設(shè)施更加安全
一個(gè)有力的論據(jù)是,信譽(yù)良好的主要云提供商提供了保護(hù)絕大多數(shù)內(nèi)部IT基礎(chǔ)設(shè)施所需的資源和重點(diǎn)。但數(shù)據(jù)開放云計(jì)算供應(yīng)商給企業(yè)帶來了數(shù)據(jù)泄露的更大風(fēng)險(xiǎn),以及無法在首席信息安全官的完全控制下鎖定受到信任的環(huán)境。
數(shù)據(jù)泄露已經(jīng)體現(xiàn)在迄今為止廣為人知的一些違規(guī)事件中,例如CapitalOne公司的大量數(shù)據(jù)被AWS公司一名員工泄露,并成為從云平臺(tái)中泄露數(shù)據(jù)的一個(gè)典型事例。
采用機(jī)密云消除了云計(jì)算內(nèi)部人員泄露數(shù)據(jù)的可能性,從而關(guān)閉了數(shù)據(jù)攻擊面,否則這些數(shù)據(jù)將暴露給云計(jì)算供應(yīng)商。數(shù)據(jù)控件可以擴(kuò)展到可能泄露數(shù)據(jù)的任何地方,包括存儲(chǔ)、網(wǎng)絡(luò)和多個(gè)云平臺(tái)中。
采用自己的機(jī)密云
OEM軟件開發(fā)商和SaaS供應(yīng)商已經(jīng)正在構(gòu)建機(jī)密云,以保護(hù)其應(yīng)用程序。Redis公司最近發(fā)布了其高性能軟件的安全版本,該版本可在多個(gè)安全計(jì)算環(huán)境上運(yùn)行,從而可靠地創(chuàng)建了世界上最安全的商業(yè)數(shù)據(jù)庫。
Azure機(jī)密計(jì)算部門已與機(jī)密云的供應(yīng)商合作,以在不對(duì)基礎(chǔ)應(yīng)用程序進(jìn)行任何修改的情況下,在現(xiàn)有基礎(chǔ)設(shè)施上安全地構(gòu)建和運(yùn)行任何工作負(fù)載。
利用機(jī)密計(jì)算可以運(yùn)行以前需要修改代碼才能運(yùn)行的應(yīng)用程序。這是因?yàn)樽畛醯臋C(jī)密計(jì)算技術(shù)側(cè)重于保護(hù)內(nèi)存。必須修改應(yīng)用程序才能在受保護(hù)的內(nèi)存段中運(yùn)行選定的敏感代碼。對(duì)大多數(shù)企業(yè)來說,重寫和重新編譯應(yīng)用程序的需求對(duì)大多數(shù)企業(yè)來說都是一項(xiàng)繁重的工作,甚至在原有或現(xiàn)成的軟件包中都是不可能的。
全新的“提升與轉(zhuǎn)移”實(shí)施路徑使企業(yè)能夠在受保護(hù)的機(jī)密云中創(chuàng)建、測(cè)試和部署敏感數(shù)據(jù)工作負(fù)載,而無需修改或重新編譯應(yīng)用程序。如今,幾乎所有云計(jì)算提供商(包括AWS、微軟Azure和谷歌云)都提供機(jī)密的云計(jì)算基礎(chǔ)設(shè)施。
機(jī)密云軟件允許應(yīng)用程序甚至整個(gè)環(huán)境在機(jī)密云平臺(tái)中工作,而無需進(jìn)行任何修改。附加的軟件抽象和虛擬化層的優(yōu)勢(shì)在于,使機(jī)密云本身與英特爾、AMD、亞馬遜和ARM等公司開發(fā)的眾多專有安全區(qū)域技術(shù)和版本無關(guān)。
新一代的安全廠商已經(jīng)簡(jiǎn)化了為潛在的公有云客戶實(shí)施私有測(cè)試和演示環(huán)境的過程,這加快了私有應(yīng)用程序飛地化和生成完整的機(jī)密云基礎(chǔ)設(shè)施的進(jìn)程。
數(shù)據(jù)安全性是將應(yīng)用程序遷移到云平臺(tái)和整合IT資源的最后一道障礙。除了最敏感的應(yīng)用程序和數(shù)據(jù)之外,在提供應(yīng)對(duì)云安全漏洞的解決方案方面邁出了重要的一步。消除數(shù)據(jù)漏洞為企業(yè)提供了廣泛的機(jī)會(huì),使他們可以簡(jiǎn)單地部署基于機(jī)密云構(gòu)建的更加安全的托管IT基礎(chǔ)設(shè)施。