內(nèi)存中的安全功能已成數(shù)據(jù)安全的主要難題

內(nèi)存的安全功能并不是新鮮事，但是由大流行性促使的遠程辦公加重了連接性，這意味著保護數(shù)據(jù)更加關(guān)鍵，甚至更具挑戰(zhàn)性。在跨5G等通信基礎(chǔ)設(shè)施共享數(shù)據(jù)的新興用例中，安全挑戰(zhàn)更加嚴峻。

同時，啟用安全性增加了內(nèi)存設(shè)計的復雜性。

甚至在邊緣計算、物聯(lián)網(wǎng)和車聯(lián)網(wǎng)的爆炸式增長之前，內(nèi)存中的安全功能也在激增。電可擦可編程只讀存儲器（EEPROM）被信用卡、SIM卡和無鑰匙進入系統(tǒng)所青睞，基于閃存的固態(tài)硬盤多年來一直包含加密功能。

內(nèi)存技術(shù)的進步反映了數(shù)據(jù)爆炸和處理過程要移近數(shù)據(jù)的需求。內(nèi)存和存儲技術(shù)是并行的，更多的工作負載在內(nèi)存中被處理。我們將在即將到來的內(nèi)存技術(shù)中探討技術(shù)的變化曲線。

如今，安全性已經(jīng)嵌入內(nèi)存和網(wǎng)絡(luò)設(shè)備中，這些設(shè)備分布在整個計算系統(tǒng)和網(wǎng)絡(luò)環(huán)境中。但是這些基于內(nèi)存的安全能力仍然必須考慮人為錯誤。信息安全專業(yè)人員必須處理用戶打開虛假附件或路由器配置錯誤的后果。

類似地，安全內(nèi)存功能的好處將不會完全實現(xiàn)，除非正確配置，并在一個系統(tǒng)（也包括軟件）之間協(xié)調(diào)一致。但現(xiàn)在看來，雙SoC安全操作中心和片上系統(tǒng)正在融合。

Rambus等公司提供的產(chǎn)品旨在確保每個連接的安全，以應(yīng)對云計算和邊緣計算中不斷增加的服務(wù)器連接帶寬要求。與此同時，為反映每一個系統(tǒng)連接的必然性-黑客篡改閃存設(shè)備的內(nèi)容，英飛凌科技公司已經(jīng)擴展了賽普拉斯Semper閃存。

這種篡改可能會影響到許多不同的計算平臺，包括自動駕駛汽車，它本質(zhì)上是一個“在輪子上的服務(wù)器”。加上5G網(wǎng)絡(luò)增強了工業(yè)、醫(yī)療和物聯(lián)網(wǎng)場景。安全性不僅需要集成，而且還需要在許多不同設(shè)備的生命周期內(nèi)進行管理，其中一些設(shè)備使用嵌入式內(nèi)存可能會持續(xù)10年。對于黑客來說，內(nèi)存密集型應(yīng)用仍然是很具吸引力的。

分析人士Thomas Coughlin表示，加密密鑰管理對于確保系統(tǒng)的安全仍然至關(guān)重要。隨著非易失性存儲器技術(shù)的發(fā)展，嵌入式系統(tǒng)的安全性變得越來越重要。這是因為即使設(shè)備斷電，數(shù)據(jù)也會持續(xù)存在。

這里的挑戰(zhàn)不在于增加安全功能。例如，SSD上的數(shù)據(jù)可以加密?！氨容^大的問題是用戶使用這些功能是否容易，因為通常最薄弱的環(huán)節(jié)就是人?！?/p>

智能手機充當了身份驗證，生物識別取代了傳統(tǒng)密碼。這種情況留下了未加密數(shù)據(jù)意外暴露的可能性。Coughlin表示，危險在于執(zhí)行的缺陷或復雜性?！白尠踩兊萌菀资顷P(guān)鍵，而這不僅僅是加密數(shù)據(jù)并將其放入硬件那么簡單?！?/p>

SSD和內(nèi)存供應(yīng)商Virtium的營銷副總裁Scott Phillips表示，加密SSD只能做到這些。而我們需要一種多層的管理方法。雖然像Trusted Computing Group的Opal規(guī)范這樣的存儲規(guī)范可以達到BIOS級別，啟動前可進行身份驗證，但配置和集中管理對于防止黑客入侵至關(guān)重要。

“即便是大公司，也無法提供大量全面、復雜的安全保障?！?/p>

隨著5G升級，人們正在努力實現(xiàn)數(shù)據(jù)路徑保護，保護數(shù)據(jù)中心，但實現(xiàn)基于硬件的安全仍面臨挑戰(zhàn)。

集成需求

在工業(yè)市場，需要不同系統(tǒng)的整合。Phillips表示， 亞馬遜的AWS和微軟Azure等超大型企業(yè)也在促進數(shù)據(jù)安全。然而，這些防御必須一直實現(xiàn)到最終用戶。

盡管有越來越多的標準和要求，但安全方法的兼容性問題仍然存在。供應(yīng)商仍試圖將自己定位為安全產(chǎn)品和服務(wù)的領(lǐng)導者。

“黑客總是領(lǐng)先一步，他們知道所有小漏洞。這些是他們要檢查的東西。這需要一個非常集中、細致的IT人員或部門來檢查并堵住所有這些漏洞?！?/p>

將安全性嵌入存儲設(shè)備而不是將其栓在存儲設(shè)備上的想法與軟件方法并無不同。“DevSecOps” 是為了安全和隱私應(yīng)用程序開發(fā)過程的一部分。

但我們知道，使用中的數(shù)據(jù)是數(shù)據(jù)加密領(lǐng)域的一個弱點。加密靜態(tài)數(shù)據(jù)和加密傳輸中的數(shù)據(jù)，這個流程已經(jīng)存在整個科技行業(yè)得到廣泛實施，但企業(yè)在處理信息時沒有任何可靠的方法來保護信息，這就是機密計算聯(lián)盟希望解決的問題。

有一種被稱為“機密計算”的新興框架由此誕生，“機密計算”一詞是由微軟創(chuàng)造，微軟也是該聯(lián)盟的主要支持者和創(chuàng)始成員之一，其他成員還包括阿里巴巴、Arm、百度、谷歌云、IBM、英特爾、紅帽和騰訊。旨在通過在基于硬件的可信執(zhí)行環(huán)境（TEE）中隔離計算來保護使用中的數(shù)據(jù)。在處理數(shù)據(jù)時，數(shù)據(jù)在內(nèi)存中加密，在CPU之外的其他地方加密。

這些科技公司寄希望于一個名為Open Enclave Software Development Kit的開源框架，該框架最初是由微軟開發(fā)的，用于構(gòu)建可以運行在多種類型計算機體系結(jié)構(gòu)上的所謂“可信執(zhí)行環(huán)境應(yīng)用”。

英特爾SGX允許創(chuàng)建受信任的執(zhí)行環(huán)境，這是主處理器的一個安全區(qū)域，它可以保證加載在其中的代碼和數(shù)據(jù)，并在保密性和完整性方面受到保護。

機密計算已被軟件和硬件廠商推廣，包括谷歌，它最近宣布了將其應(yīng)用于容器工作負載的功能，英特爾還通過其Intel software Guard擴展為微軟Azure等云提供商提供一個可信的空間（TEE）。通俗的講就是把你的數(shù)據(jù)單獨放在一個安全的環(huán)境里執(zhí)行操作，普通操作系統(tǒng)和應(yīng)用程序無法直接訪問 TEE 的硬件和軟件資源。

機密計算需要共享安全責任。英特爾產(chǎn)品保證和安全架構(gòu)高級首席工程師Simon Johnson表示，人仍然是最薄弱的環(huán)節(jié)。

英特爾支持開發(fā)者執(zhí)行代碼來保護數(shù)據(jù)。與此同時，機密計算運動源于企業(yè)要求處理數(shù)據(jù)而不考慮來源，包括敏感的醫(yī)療保健信息、財務(wù)記錄和知識產(chǎn)權(quán)。

平臺提供商應(yīng)該不能看到數(shù)據(jù)?！白尡M可能多的人遠離你的東西?！?/p>

英特爾SGX包括基于硬件的內(nèi)存加密，隔離特定的應(yīng)用程序代碼和內(nèi)存中的數(shù)據(jù)。它允許用戶級代碼分配私有內(nèi)存“enclave”，目的是在與在更高特權(quán)級別上運行的進程隔離。

據(jù)悉Open Enclave仍處于開發(fā)階段，但由于可信執(zhí)行環(huán)境已經(jīng)被普遍采用，因此相信進展會相當快?？尚艌?zhí)行環(huán)境指的是計算機芯片上的一個安全區(qū)域，用于加密芯片上加載的數(shù)據(jù)和代碼，使處理器的其他部分無法訪問這些數(shù)據(jù)。換句話說，可信執(zhí)行環(huán)境提供了一個隔離的執(zhí)行環(huán)境來保護正在使用中的數(shù)據(jù)，Open Enclave SDK則是利用這個環(huán)境開發(fā)應(yīng)用的一個通用框架。

英特爾框架還被設(shè)計用于幫助防止基于軟件的攻擊，即使操作系統(tǒng)、驅(qū)動程序、BIOS或虛擬機管理器受到威脅，英特爾框架也會有所措施。

機密計算將支持在用戶不擁有的大型數(shù)據(jù)集上進行分析負載等工作。它還允許在更接近工作負載的地方執(zhí)行加密密鑰，從而提高了延遲?！敖裉欤覀冎挥密浖硖峁┍Ｗo，”“在這種環(huán)境下，我們沒有硬件保護措施?！?/p>

Johnson表示，“機密計算”將通過硬件和軟件生態(tài)系統(tǒng)保護數(shù)據(jù)或代碼的處理，該系統(tǒng)由保密計機密計算聯(lián)盟授權(quán)。

Virtium的Phillips指出，易用性會增強安全性。Push-button記憶加密是其最終的目標，“而全面的安全將來自于額外功能。”

這個想法不僅是為了加密內(nèi)存，也是為了確保完全的數(shù)據(jù)隔離，以確保一個安全的環(huán)境?！皺C密計算代表的不僅僅是加密內(nèi)存?！?/p>

它還關(guān)乎適應(yīng)一個異質(zhì)世界?！霸谑褂脭?shù)據(jù)時，你必須提供一層訪問控制，并能夠證明你在使用軟件，數(shù)據(jù)在某個特定區(qū)域
責編AJX