人们常说“数据是新的石油”,考虑到企业创建和使用数字信息来推动业务发展的速度正在加快,很难不同意这种说法。但它的基本价值也导致数据和数据所有者经常受到不良行为者的攻击,从嬉戏的孩子到老练的网络罪犯。
这就要求企业格外警惕,以免其大量数据投资被侵蚀或掠夺。但是,当潜在的攻击媒介和对公司信息的访问点几乎是无限的时候,警惕是远远不够的。结果,诸如IBM之类的技术供应商正在积极研究强大的新技术,以保护客户的宝贵数据资产的安全和机密。
本周,IBM Z Hybrid Cloud副总裁Rohit Badlaney和IBM Cloud副总裁兼CTO Hillary Hunter 发表了一个博客,讨论了该公司在机密计算领域的努力,他们称之为“安全领域的下一个前沿领域”。
改善数据机密性
那么,到底什么是机密计算?简而言之,这个短语描述了在整个业务使用范围内(从构建过程到管理功能再到数据驱动的服务和功能)全面保护信息的服务和解决方案。2019年8月,阿里巴巴、Arm、百度、IBM、英特尔、谷歌云、微软和红帽等厂商宣布成立保密计算联盟。在Linux基金会的帮助下,成员们计划大幅提高使用中数据的安全性。
如何保护“使用中的数据”?将其视为超越常规解决方案的合乎逻辑的下一步,例如在静止状态(在存储环境中)和传输状态(在网络中移动)加密数据。从本质上讲,机密计算联盟旨在改善保持数据连续加密的方法,包括在内存中为业务应用程序和流程处理数据时。这样做可以防止敏感或有价值的数据暴露给系统的其余部分(以及可能的入侵者),同时为用户提供更大的安全性,透明度和控制力。
多个财团的创始人对该项目做出了初步贡献,包括IBM的Red Hat共享用于运行受信任的执行环境(TEE)应用程序的Enarx,英特尔提供的Software Guard Extensions(SGX),用于在硬件层保护代码的SDK和Microsoft提供的Open用于构建TEE应用程序的Enclave SDK。自成立以来,财团成员继续致力于机密计算技术,该小组吸引了包括埃森哲,AMD,Facebook和Nvidia在内的新成员。
个别财团成员也在开发自己的产品。例如,在最近的Cloud Next会议上,Google宣布了一项新的云安全程序,即支持对加密数据进行处理的机密VM(虚拟机)。Google的机密VM使用 AMD EPYC安全加密虚拟化(SEV) 技术。
不幸的是,这些加密处理功能会损害整个系统的性能。尽管Google和AMD表示他们正在努力解决该问题,但根据AMD机密VM的基准测试,在解决该问题之前,客户应该期望其速度降低1%至6%(取决于工作量)。
IBM对机密计算的关注
看到供应商合作开发重要的新技术真是太好了,但是IBM在宣布共同努力之前很早就在开发和提供机密计算解决方案和服务。Badlaney和Hunter的博客详细讨论了这些努力以及最新进展。例如,两人指出,该公司于2018年3月的年度Think Conference上推出了Hyper Protect Services,宣布了其首个机密计算功能。
这些IBM Cloud Hyper Protect Services基于安全的飞地技术,该技术集成了硬件和软件,并利用了公司所谓的“业界首个也是唯一的FIPS 140-2 Level 4认证的云硬件安全模块(HSM)”。该产品组合现在包括三项服务:IBM Cloud Hyper Protect加密服务,Hyper Protect DBaaS和Hyper Protect虚拟服务器。这些为客户提供了对敏感数据,关联的工作负载和云加密密钥的完全授权。
自该初始版本发布以来,IBM Cloud一直在讨论保护客户敏感数据和工作负载的至关重要性,并为Hyper Protect Services添加了新功能。其中包括满足GDPR,ISO 27K,HIPAA就绪,IRAP保护和SOC 2 1类报告关键合规性要求的进步。对于全球企业和从事合规性行业的公司而言,这些功能至关重要。
当前,包括戴姆勒(Daimler)在内的客户正在使用IBM生产就绪的机密计算解决方案。该公司还通过Apple CareKit开源GitHub社区中提供 的iOS版IBM Hyper Protect软件开发工具包(SDK)将相同的技术引入了Apple CareKit。
Badlaney和Hunter指出了最近的进展,这些进展证明了IBM持续的机密计算势头:
IBM的z15下一代大型机和IBM LinuxONE III系统于2019年9月宣布,可提供高达16TB的安全内存,可支持机密计算工作负载。此外,IBM的Pervasive Encryption功能(支持内存中加密数据的处理)对整体系统性能的影响可忽略不计。
IBM和美国银行正在开发可用于金融服务的公共云,该云由与IBM Z中相同的机密计算安全性提供支持。该解决方案通过IBM Hyper Protect Services提供,包括“保留自己的密钥”加密功能。
IBM Secure Execution for Linux于2020年4月发布,使客户能够以粒度和规模隔离大量工作负载,从而帮助保护他们免受混合云基础架构内部和外部威胁的侵害。
2020年6月,IBM宣布了新的工具包,允许MacOS和iOS开发人员尝试完全同态加密(FHE),以保持数据的同步保护和处理。该公司将在7月下旬发布一个新的Linux FHE工具包,将FHE引入IBM Z和x86体系结构的多个Linux发行版中。
最终分析
机密计算协会等组织可以帮助确保有效开发和成功应用创新技术,从而为公司,行业和市场带来广泛的利益。但是,并不能因此而认为参与这些小组的供应商会以同样的速度前进。有时,有些人会跑步并跑步,而另一些人仍在学习走路。
当涉及到IBM在机密计算方面的努力时,肯定是这种情况。其旗舰IBM Z大型机系统和LinuxONE服务器的不断发展,使该公司在高度安全和灵活的企业级计算方面始终处于领先地位。毫不奇怪,IBM Z上最初出现的许多受信任的安全功能现在正在推动公司在机密计算领域的开拓性努力。
长期以来,这些创新一直受到IBM客户和合作伙伴的赞赏。随着众多供应商将机密计算的优势带入更广阔的市场,他们将遵循IBM等先驱者开辟的道路。
更多关于云服务器,域名注册,虚拟主机的问题,请访问西部数码官网:www.west.cn
