機密計算時代或將很快到來

機密計算并不是什么新概念，早在2020年，研究機構Gartner就在其年度云安全技術成熟度曲線中，將機密計算列為33種關鍵安全技術之一。但是Gartner曾經認為，機密計算需要較長時間的理論研究與研發準備，距離成熟的商業市場應用，還需要5到10年的時間。

不過由于行業對數據安全在使用過程中的保護需求快速增長，機密計算的應用步伐有望大大加快。有研究機構預測，機密計算技術在未來1~2年內就會成為安全計算的標準方法，尤其是在云計算環境中。

數據保護技術的變革

眾所周知，數據只有被更多使用，才能發揮出更大的價值。但現有的數據防護技術，更多是針對數據靜態存儲和傳輸時的防護，對使用中的數據卻難以進行有效的保護，因為應用系統需要明文數據(未經加密或其他方式保護的數據)才能進行計算，這意味著惡意軟件可以在系統內存中對機密數據進行竊取。

使用過程中的數據所面臨的威脅并非只在理論上存在。以美國零售商塔吉特（Target）為例，該公司就曾遭到內存截取惡意軟件的攻擊，該惡意軟件在數據處理時從POS系統的內存中竊取信用卡信息，整個過程如同刷卡操作一樣簡單。

機密計算的另一個應用需求是云計算環境中的數據隱私保護。經過十多年的發展，云計算服務已經非常普遍，但很多企業的管理者對于將隱私業務數據交給第三方云服務提供商的系統來保管依然不放心。數據隱私性和機密性仍是當前主要的云安全問題。

云上業務系統面臨的一個嚴重數據安全隱患在于，要想充分利用分析、索引、協作工具以及內容共享等云服務，就需要對數據進行解密以便處理。但是這種解密恰恰違背了數據安全防護的基本原則：始終保護敏感數據資產免受未經授權的任何人的訪問。

應用價值不斷增長

機密計算是一種技術上的根本性變化，它可以保證敏感數據在內存中處理時也處于加密狀態，而不是以明文的方式使用。機密計算在基于硬件的可信執行環境（TEE）中執行計算，從而保護使用中數據。這項技術的原理是，在處理過程中將敏感數據隔離在安全的CPU內存空間（enclave）中，以便云供應商或其他任何第三方看不到這些數據。通過在硬件最低層提供安全，機密計算可以確保數據機密性、數據完整性和代碼完整性。這些技術特性意味著企業中的敏感數據在使用過程中可以最大程度的不再暴露在其他應用程序、虛擬機管理程序、操作系統或云服務提供商的面前。

企業有望從機密計算獲得的價值主要包括：

更有力地保護知識產權和敏感數據

機密計算加強了保護組織最敏感數據資產的力度。知識產權、商業機密、合同和個人消費者/用戶數據在處理過程中都受到了保護，防范未經授權的訪問。這種加強保護敏感數據的做法可以帶來企業聲譽和競爭力方面的優勢。

改善數據監管合規

越來越多的數據隱私法規致力于在敏感數據泄露后保護消費者，如果企業想避免數據泄露，有必要兼顧以上這三種數據狀態的所有潛在攻擊面，而不是只關注靜態數據或傳輸中數據。機密計算能夠幫助企業改善合規工作，尤其在使用云計算基礎設施時。

充分利用云功能

一些企業為了優先考慮安全性，限制了對云服務的更多使用，因為這些云應用程序需要加密才能正常運行。機密計算在云端提供了所需級別的數據機密性，同時讓組織仍可以充分利用云功能，比如大數據處理、高級分析或運行云原生應用程序等。

更好地協作創新

數據孤島常成為通過相互協作的多方計算進行創新的障礙。分布式云計算能力促進了多個企業組織之間數據共享和分析，但企業組織在對敏感信息進行防護需求時所采用的防止惡意第三方進行非法訪問的防護手段阻礙了這一技術的發展。通過借助機密計算，讓更多企業組織可以更安全地進行數據共享使用，不必擔心數據在使用時發生泄露。這方面有廣闊的實際應用場景，如金融機構共享數據以檢測欺詐，醫療機構結合醫療數據改善診斷，開發新的疾病治療方案等。

商業應用步伐不斷加快

在企業應用需求和技術應用價值的雙重推動下，機密計算概念的市場發展比預期要快很多。作為一項前瞻性技術，目前許多科技巨頭紛紛入局，大力探索和開發機密計算。

阿里云是較早推出機密計算的大型公有云服務商，已在全球范圍內將機密計算商業化，其云上用戶目前可以通過機密計算技術來實現更高等級數據保護能力。

在微軟的云服務中，也包含了一項名為Azure機密計算的安全功能，以確保數據在處理時能得到更多的控制。

在Google Cloud Next 2020大會上，谷歌云（Google Cloud）推出了一款“可保密虛擬機”（Confidential VMs）。這種新型的虛擬機可以利用谷歌的加密計算，實現對靜止狀態和內存數據的保密。在后端，機密虛擬機使用了基于AMD二代霄龍處理器（EPYC）的安全加密虛擬化技術，密鑰由CPU可信執行環境生成且無法導出，即便是谷歌自身也無法得知密鑰。

由于機密計算的應用前景已經明朗，其產業生態也在不斷完善。包括阿里巴巴、華為、AMD、微軟、甲骨文、Google等科技巨頭公司在內的企業，已在Linux基金會下啟動成立了機密計算技術應用聯盟，旨在進一步加快技術應用標準的定義和開源工具的開發。

隨著機密計算的應用加速，企業組織現階段已經能夠得益于這項技術的應用。研究機構建議企業應盡快探索機密計算技術的使用，特別是對于在云環境上部署應用系統和數據的企業。雖然目前機密計算在產品功能方面尚不完善，但基于現有技術的部署已經可以將數據安全性在原有基礎上向前推進一大步。

雖然機密計算有望在敏感數據安全領域帶來一場革命，但是研究人員同時也提醒企業，不能忽視大多數攻擊和數據竊取仍然通過終端漏洞來實現，企業還是需要持續監控和實時保護好終端設備的安全。