首頁 > 文章內容

阿里、微軟等云商巨頭結成機密計算聯盟,共享三大開源工具

智東西(公眾號:zhidxcom)編 | 李水青

導語:將商業機密、指紋特征、交易購買記錄等數據放在“云”上安全嗎?現在,全球十家云服務巨頭建立聯盟,共同致力于保護云計算中的數據安全。

智東西8月22日消息,今天,Linux基金會宣布多家巨頭企業組建“機密計算聯盟”(Confidential Computing Consortium),該基金將負責對聯盟活動進行監督。機密計算聯盟專門針對云服務及硬件生態,致力于保護計算數據安全。聯盟創始成員包括阿里巴巴、Arm、百度、谷歌云、IBM、英特爾、微軟、紅帽、瑞士通和騰訊,不包括全球最大的云服務器運營商亞馬遜。

隨著云計算及人工智能技術的發展,云辦公、云筆記、圖文云處理等應用使人們的工作和生活更加便捷。同時,人們對于數據隱私的擔憂也由此升級。越來越多的商業機密、人臉指紋等特征數據被存儲在云上,這能讓我們長久放心嗎?

機密計算聯盟致力于解決這一問題。該聯盟積極尋求基于硬件和軟件的技術解決方案,用以在處理計算機內存時隔離用戶數據。通過機密計算方案,敏感數據能免于被暴露給其他應用程序、操作系統或者服務器租用者。

目前,聯盟主要的策略方法是可信執行環境(Trusted Execution Environment,簡稱TEE)技術方案。英特爾、微軟、紅帽還圍繞此方案共享了開源工具。

一、用可信執行環境技術保護計算安全

支持機密計算實踐的最簡單方法是利用TEE,TEE是相對于普通執行環境(Rich Execution Environment,簡稱REE)來說的。

REE包括運行在通用的嵌入式處理器上的普通操作系統及其上的客戶端應用程序。盡管人們在REE中采取了很多諸如設備訪問控制、設備數據加密機制、應用運行時的隔離機制、基于權限的訪問控制等安全措施,仍無法保證敏感數據的安全性。

TEE是運行于普通操作系統之外的獨立運行環境,其向一般操作系統提供安全服務并且與普通操作系統隔離。普通操作系統及其上的應用程序無法直接訪問TEE的硬件和軟件資源。TEE技術方案可以為不安全的操作系統提供安全的服務。

▲TEE層次架構圖

TEE技術通常用于云計算。在云計算中,一臺服務器會被多個客戶分享,面對數據處理的風險,云服務提供商用TEE技術來保護這些數據。

其實,除了云計算,許多普通的應用程序也可以使用TEE技術方案。例如,如果想保護智能手機上的機密數據,可以用TEE技術來隔離指紋的采集、存儲、驗證等過程,即使手機被越獄或Root,攻擊者也無法獲取指紋數據。

推進TEE技術的使用將是機密計算聯盟的主要目標之一。通過為TEE技術提供開源工具、建立監管標準以及在其客戶和開發人員社區中開展教育活動,聯盟成員都可以幫聯盟實現目標。

二、英特爾、微軟、紅帽共享開源工具

除了宣布機密計算聯盟的成立,英特爾、微軟和紅帽將為聯盟共享三種開源工具。多年以來,這幾個工具一直是開放的開源項目。但是據稱,在這些開源工具貢獻出來之后,它們的開發主導權就屬于聯盟,而不是原主人了。這三款工具分別是:

1、英特爾軟件保護擴展開發套件(Intel? Software Guard Extensions Software Development Kit)。這款套件是為了幫助應用開發者保護所選擇的代碼和數據,避免代碼和數據在硬件層次被泄露或修改。

2、微軟開放飛地軟件開發套件(Microsoft Open Enclave SDK)。“飛地”也是TEE技術的別稱。這是一個開源框架,允許開發者通過建立抽象的TEE技術,進而一次構建跨多個TEE體系結構運行的應用程序。

3、紅帽Enarx。為TEE方案提供一個虛擬的平臺,以支持創建和運行“私有”、“可替換”、“無服務器備份”的應用程序。

不過,目前為止這個聯盟工具陣容中缺少了谷歌云的Asylo。就像前面的三個工具一樣,Asylo是一種開源框架和軟件開發組件,能用于開發在TEE方案中運行的應用程度。谷歌云并沒有正式宣布將其Asylo的領導權轉移給聯盟。

文章來源:ZDNet

責任編輯:

相關推薦

相關新聞

回到首頁 回到頂部

網站簡介 - 廣告服務 - 誠聘英才 - 聯系我們 - 法律聲明 - 友情鏈接

加拿大快乐8作假吗