什么是机密计算？面向首席信息安全官的高阶解释

by Canonical on 27 December 2022

隐私增强技术和机密计算是我们最喜欢谈论的两个话题！今天这篇博文，让我们来探讨两个好问题 – 什么是机密计算？它对我有什么影响？

在探讨细节之前，让我们想象一下，你是 PAlabs 的首席信息安全官（CISO，chief information security officer）。PAlabs 是一家领先的基因测序公司，专门对愿意将唾液放入小容器中并漂洋过海邮寄到此进行分析的好奇公民进行基因测序。作为交换，你们公司会为他们提供一份以数据为驱动、以科学为依据的概率报告，详细说明他们的祖先可能来自哪里。

PAlabs 以让我们看到人与人之间的联系如此紧密、追求数据与科学等等为傲！但作为 CISO，你却始终对客户代码和数据的完整性和机密性而感到担忧，因为 PAlabs 的所有工作负载都部署在公共云上！

你深知客户的数据有多敏感。这些数据都是可识别的个人信息。如果落入坏人之手，后果将不堪设想。不仅仅是你的个人客户的隐私会受到威胁，他们的孩子、父母、祖父母、兄弟姐妹、堂兄弟姐妹、叔叔的隐私也会受到威胁…。这样的例子还有很多，但我想你应该已经明白了。任何数据泄露都会损害公司多年努力打造起来的品牌形象，更不用说过去几年一直在稳步增长的股票价格了。

运行时的安全

为了降低这些风险，你决定跟踪公共云工作负载数据的动向，并在所有阶段确保数据的安全：

传输中：通过不安全的网络向公有云发送数据时，只能使用 TLS 等安全协议。
静止时：当数据处于静止状态或闲置在公共云存储器中时，为安全存储数据，你始终使用由你们公司生成和管理的密钥对数据进行加密，并由云硬件安全模块进一步加以保护。

传输中的安全？没有问题。静止时的安全？没有问题。目前为止，一切良好。

然而，当需要对数据进行计算（即进行基因测序）时，你的公共云提供商需要首先对其进行解密，然后以明文形式将其从服务器的二级存储器移动到其系统内存 RAM 中。对数据进行计算是不可避免的。毕竟，这正是你们公司使用云的原因：可以利用其弹性以及基因测序所需的大量计算资源。

遗憾的是，一旦处于系统内存中，你的代码和数据就有可能被易受攻击的或恶意的系统级软件（操作系统、管理程序、基本输入／输出系统）破坏，甚至被对你的供应商平台拥有管理员或物理访问权限的恶意云运营商破解。

但是为什么用户级应用程序的安全性要依赖于其底层系统软件的安全性呢？原因就在于商品设备的层次结构：拥有特权的系统软件可以无限制地访问无特权用户级应用程序的所有资源，因为前者控制了后者的执行、内存和对底层硬件的访问。事实上，这是一项功能，而不是一个漏洞！

运行过程中缺乏这样的安全保障，无法确保代码和数据的完整性和机密性，可能会让作为 CISO 的你夜不能寐。那现在除了冥思苦想和服用褪黑素，你还能做些什么呢。

机密计算 – Confidential Computing

首先我们要承认，运行时的安全是一个很棘手的问题！以 PAlabs 为例：

你想要云分析客户的 DNA，但同时不想要云了解关于特定 DNA 的任何内容
你希望云的特权系统软件管理工作负载的生命周期，但同时不会使工作负载的安全保障受到影响

如何在不实际查看数据的情况下对数据进行计算呢？怎么能指望一个易受攻击的管理程序不会威胁到它所运行的用户级应用程序的安全性呢？这是一个难解的谜题，甚至有了自己专门的命名：隐私增强技术（PET，privacy enhancing technologies）。

PET 可以定义为帮助我们解决数据隐私和实用性之间紧张关系的一系列技术。它们允许我们对数据进行计算并从中获得价值，同时还能保护数据隐私。这与 AES（advanced encryption standard，高级加密标准）等传统的加密原语不同。AES 只允许我们保护数据的机密性，但无法对加密的密文执行任何类型的操作。PET 可以通过差分隐私、同态加密、安全多方计算、零知识证明等加密方法以及可信执行环境（也称为机密计算，confidential computing，CC）等系统类方法实现。

基于这样的背景，机密计算联盟（Confidential Computing Consortium）将 CC 定义为允许我们「通过在基于硬件的可信执行环境中执行计算来保护使用中的数据的一系列技术。这些安全隔离的环境可以防止对使用中的应用程序和数据进行未经授权的访问或修改，从而为管理敏感和受监管数据的组织提高了安全保障。」

这就是机密计算如此令人振奋的原因！它解决了运行时不安全这一巨大挑战。机密计算并非试图确保所有系统软件的安全，而是采用一种简单而实用的方法来实现 PET，这种方法只在当前适用。

PET 预先认定，系统软件要么目前已经成为了恶意软件，要么在未来某个时候也有可能变成恶意软件。它认为它所启动的执行环境是不可信的，而建议在一个隔离的可信执行环境（TEE，trusted execution environment）中运行对安全性敏感的工作负载，可信执行环境的安全保障可以得到远程证明。

为了能够对 TEE 和机密计算展开思考，我们需要了解两个主要的原语：

隔离 – isolation
远程证明 – remote attestation

我们将在本迷你博客系列的第二部分中探讨如何设计和实现它们。请持续关注。

更多资源（英文）

查看更多内容

Canonical 发布 Ubuntu 24.04 LTS Noble Numbat

Canonical 的第 10 个长期支持版本树立了在性能工程、企业安全和开发人员体验方面的新标准。伦敦，2024 年 4 月 25 日 Canonical 今日正式发布 Ubuntu 24.04 LTS，代号“Noble Numbat”（尊贵的袋食蚁兽），用户可前往 https://ubuntu.com/download 下载并安装。 Ubuntu 24.04 LTS 建立在前三个中期版本的进步以及世界各地开源开发人员的贡献之上，只为确保一个安全、优化和具有前瞻性的平台。 Canonical 首席执行官 Mark Shuttleworth 称：“Ubuntu 24.04 LTS 在性能工程和机密计算方面迈出了大胆的一步，实现了一个企业级创新平台，支持期限至少为 12 […]

Charmed MongoDB 全面上市

Canonical 发布 MongoDB® 企业版解决方案 Charmed MongoDB，其提供先进的自动化功能、多云功能和全面的支持 MongoDB® 是全球使用最广泛的数据库之一。它提供强大的扩展、协调和容错功能，成为了各种规模和各个行业企业组织的热门之选。Charmed MongoDB 是 MongoDB® 社区版的企业直接替代版，具有企业组织在其生产环境中需要用到的高级功能。 Canonical 产品副总裁 Cedric Gegout 称：“Charmed MongoDB 是我们开源数据解决方案产品组合中的一员，旨在满足现代部署的需求。”“企业组织可以放心地部署 Charmed MongoDB，他们知道 Canonical 会提供在任何云环境中的性能承诺以及长达 […]

Edge Computing Examples

您应当知道的 5 个边缘计算示例在日新月异的科技世界中，创新是保持领先地位的关键。在企业追求效率、速度和实时数据处理能力的趋势下，人们越来越关注边缘计算。边缘计算代表了数据处理和分析方式的范式转变。与将数据处理集中在远程数据中心的传统云计算不同，边缘计算是将数据处理带到了更接近数据源的地方。这样不仅减少了延迟，而且为各行各业开辟了一个充满可能性的世界。我很高兴通过本篇博客跟大家一起来探讨这项尖端技术的示例及各种应用和用例，文中将特别着重于探讨 Canonical 的 MicroCloud 如何无缝地适应这一转变格局。各行各业边缘计算示例智慧城市和城市规划边缘计算在智慧城市的发展中起着至关重要的作用。通过在整个城市环境中部署传感器、摄像头等边缘设备，数据可以就 […]