今天,当我们谈及大数据、人工智能(AI)这些前沿技术与应用创新,采用云化部署似乎已成为 Default(缺省)选项而非 Optional(可选项)。在更多考虑如何让丰富的云端数据有效地为行业降本增效、推陈出新提供强劲动力的浪潮之中,仍有一个因素不容忽视,这就是云端数据隐私防护。
事实上,由云服务带来的更多数据交互、资源共享,也让系统遭受着愈演愈烈的黑客攻击。一旦平台发生用户个人隐私泄漏、或是系统被攻破后遭遇 APT(高级可持续威胁)攻击,那么由此造成的影响显然难以估量。
针对云端数据隐私防护,业界也通过软硬件加密等手段,在过去几十年中筑起了一道又一道的防护高墙。但这些方案往往集中在数据传输和数据静态存储领域中,如果数据处于使用中时,由于数据和应用在 CPU 和内存中需要使用明文(未加密的数据与应用代码)才能进行计算处理,恶意软件便可借由窥视、攻击内存中的内容来实施黑客行为。
图一 三种状态下的数据保护1
当云环境中数据传输与静态存储的安全墙越筑越高,处于使用态的数据也就更易成为黑客的重点“关注”对象。如果在这一环上缺乏有效手段进行防护,数据的使用安全就变成了阿喀琉斯之踵。
用金箍棒画一个圈,可信执行环境里的机密计算
近年来,有关云环境中的数据隐私保护话题中,机密计算(Confidential Computing)出现的频次与日俱增。说到机密计算,就不得不先聊一下可信执行环境(Trust Execution Environment,以下简称 TEE)这个概念。
简单来说,TEE 就是一个能提供一定级别数据完整性、数据机密性和代码完整性保证的环境。这如同孙悟空去化斋前,用金箍棒给师父和八戒沙僧画的那个圈,在这个圈里,妖魔鬼怪既伸不了手,也不能用法力将师父掳走。
划好 TEE 这个保护圈,师父(敏感数据/代码)只要不瞎听八戒撺掇走出圈外,就大可太太平平地念经修佛(执行计算)。
因此在机密计算的设计中,通过 CPU 给敏感数据与代码分配一块隔离的内存(即 TEE 保护圈),除非经过授权,任何软硬件,包括主机操作系统(Host OS)、虚拟机监控程序 (VMM)、BIOS等,统统都不能访问这块内存中的数据。如此,机密计算便能为用户提供以下三种安全保障:
- 数据机密性:未经授权的实体无法查看在 TEE 内使用中的数据;
- 数据完整性:未经授权的实体不能添加、删除或更改在 TEE 内使用中的数据;
- 代码完整性:未经授权的实体不能添加、删除或更改 TEE 中执行的代码。
可以看到,借助 TEE 的保护,机密计算就可以通过多样化的方案和手段来对云端数据安全实施有效保障,补齐云端数据在“传输安全”、“存储安全”之外的那块“使用安全”短板。
由此得到的可信云服务,无疑将是云服务领域的“二级火箭”。
众所周知,数据安全一直是用户将敏感数据和关键业务负载部署到云环境的顾虑之一。例如在 AI、大数据分析领域,虽然大家都认同借助云服务的敏捷性和低 TCO 去聚集更多数据,带来更大、更好的成果。但出于隐私泄露和数据风险的考量,许多用户还是选择保持观望,由此造成的“数据孤岛”现象也令许多 AI 专家、数据科学家扼腕叹息。
现在,借助机密计算方案,云服务提供商可将不受信任的组件移出可信计算基础(TCB),只将需要的硬件和受保护的应用程序留在可信边界内,这在保持云服务敏捷性的同时也实现了对不同场景中敏感型工作负载的实时保护。
而更多新工具、新方法的涌现,也让用户在云服务中部署,或迁移至机密计算的过程变得越来越便捷。一些方案甚至能做到几乎不进行更改,就实现原有应用程序的迁移,使机密计算的行业接受度变得越来越高。一些统计数据表明:有 88% 来自数据敏感行业的受访者表示将接受机密计算2。
随着云服务、区块链等技术的发展与规模化应用,机密计算也在越来越多场景获得应用。例如:
▪ 云服务中关键信息资产的安全存储和处理
密钥(Keys)、秘密(Secrets)、凭证(Credentials)及令牌(Tokens)等是云服务中至关重要的信息资产。传统上,云服务提供商采用硬件安全模块(HSM)来对它们实施保护,但这带来了成本、可扩展性和兼容性的挑战。机密计算的出现,让密钥管理应用可在不同的云服务场景,包括数据中心、私有云,公共/混合云甚至物联网环境中,基于机密计算的 TEE 去安全、灵活地存储和处理上述信息资产。
▪ 公有云服务
传统上,公有云要提供足以令人信赖的安全服务,需要对硬件、设备固件、主机操作系统、虚拟机管理器程序以及云编排系统本身都提供足够的保护措施。通过在公有云中引入机密计算,让用户将需要的硬件和受保护的应用程序置于机密计算的 TEE 内,从而有效减轻公有云安全机制的运行效率,并让更多以前无法部署在公有云的工作负载(出于安全考虑,或法规遵从性要求)向公有云迁移。
▪ 区块链
对于区块链而言,其对于数据共享和验证的强烈需求,使其与机密计算有着天然的契合。一方面,区块链各参与方可利用机密计算的 TEE 来确保各敏感数据是可信且不变的;另一方面,区块链各参与方之间的数据一致性通常借助历史数据集来验证,在 TEE 中执行智能合约,可规避访问历史数据集时的可扩展性或隐私问题。另外,交易完成后,由 TEE 提供的认证服务还能证明交易的可靠性,让后续参与者无需再次为自己进行验证,有效提升效率。
▪ 边缘云与物联网
在边缘云与物联网环境中开展的工作负载,如 DDoS(分布拒绝服务)检测等往往需要进行本地化搜索和过滤,这可能带来敏感的用户行为泄露问题。借助机密计算,这些检测工作可以置于 TEE 内完成,从而减少用户使用时的担忧。同时,机密计算也能在这些场景中助力缓解依赖于对设备进行物理访问的攻击,为用户提供更安全的边缘云与物联网使用环境。
以“飞地”加持机密计算,英特尔® SGX 成就云端数据安全岛
机密计算对于使用中的云端数据能有如此霸气的保护,那一定离不开强大的硬件环境予以辅助。虽然孙悟空与金箍棒只在神话中出现,但在现实中,英特尔® 软件防护扩展(英特尔® Software Guard Extensions, 英特尔® SGX)技术能以其开辟“飞地(Enclave)”的能力达到同样的效果,为云端数据打造安全可信赖的安全岛提供强力支撑。
英特尔® SGX 是如何加持机密计算,以及在对敏感数据和代码提供增强型安全防护方面又具备哪些优势特性?
一方面,英特尔® SGX 可以在内存空间中开辟出一个可信的、受到严密保护的安全“飞地(Enclave)”。它通过严格的访问控制和加密操作去保障其中的数据完整性、数据机密性和代码完整性,确保即使是主机操作系统、BIOS 等高等级应用和底层基础系统都不能随意访问这部分空间。
当一些敏感工作负载需要实现数据“可用不可见”时,英特尔® SGX 就能以“飞地”机制为机密计算中的数据与代码提供安全岛。即便高等级应用、底层基础系统在恶意攻击中受损,“飞地”也可通过基于硬件的、增强型的安全防护来阻断这些攻击,避免其中的数据或代码被窃取或篡改。
与此同时,英特尔® SGX 也提供了完备的鉴权能力,能在阻断攻击的同时证明自己的运行未被篡改。这犹如一套完备可靠的、用于安全岛准入的认证流程,让数据、代码的传递及进入“飞地”的动作变得更为安全牢靠。
随着用户对安全防范要求的提升,英特尔也对 SGX 技术进行了全面强化。在配置了面向单路和双路的第三代英特尔® 至强® 可扩展处理器的系统中,双路系统中最高可支持 1TB 容量的“飞地”空间,更大的空间意味着能容纳更多、更大体量的应用程序和核心数据。当云上应用火力全开时,可实现更大数据量的机密计算无疑更能轻松应对数据安全挑战。
实战:携手京东云,英特尔® SGX 助力 TalkingData 构建基于 TEE 的数据安全岛
如何实现数据价值挖掘最大化?建立大数据平台无疑是重要的方向之一。联动多源数据,盘活数据价值,正成为企业洞悉消费者需求、驱动业务创新的最佳策略之一。
什么是数据价值挖掘中的最大隐患?答案也很明确,安全隐患。高自由度的数据流通,意味着随时可能出现数据泄露等问题,带来数据资产流失、合规性遭受质疑等风险。
企业用于数据价值挖掘的数据,往往是其各类业务场景中的关键数据,例如营销数据。既要让这些数据价值最大化,又要绝对保证数据内容不外泄,无疑需要像钢丝绳上的踢踏舞表演一般,慎之又慎。
事实上,作为领先的数据服务提供商,TalkingData 在为用户设计和构建数据挖掘解决方案时,最耗费心思、也最难以说服用户的内容之一,就是如何充分保证数据的安全性。
营销场景中数据红利价值发挥的重要前提就是安全,特别是在个人信息保护法、数据安全法等法律法规相继施行的背景下,数据安全更是成为事关企业数据战略成败的关键。”
为此,TalkingData 决定与英特尔和京东云展开合作,利用京东云安全环境以及英特尔® SGX 技术,打造基于 TEE 的 TalkingData 安全岛解决方案,来为企业数据价值挖掘打造值得信赖的安全保障。
传说中,威尼斯人将制镜工艺垄断了 300 多年之久并获取了巨额的财富。重要的方法之一是将所有的镜子工坊搬到了穆拉诺岛上,任何外国人都不能靠近。进出岛屿的只有密封的原料箱子和已经成品装箱的镜子。
同样,如图三所示,TalkingData 安全岛解决方案的核心是京东云安全环境,以及基于英特尔® SGX 构建的 TD 安全岛(即前文所述的安全“飞地”),来自企业用户与 TalkingData 的数据会在经过动态加密后上传到其中。
在使用这些加密数据执行三方标签增补、ID-Mapping、TA Scoring 模型、CPO 报告等核心数据挖掘应用时,安全岛会通过 TLS(Transport Layer Security,安全传输层协议)链路来传递解密秘钥,所有数据的解密及运行过程均在安全岛上进行,数据不出硬件环境,最大限度的保证用户及各参与方的数据安全。
而京东云安全环境也为方案提供了多重安全机制,例如远程可信安全验证服务,这一认证服务可用于验证、监控、及管理安全岛。只有被其认证通过,才能登上特定的“独木船”去访问安全岛。
现在,这一方案已在多个行业进行了部署实施,来自用户的反馈表明,其能够有效解决数据服务中,数据提供方、数据需求方、算法方、渠道方等多方的安全顾虑,在安全可信的环境下实现数据的融合互通。
可以说,集成了京东云安全环境以及英特尔® SGX 的 TalkingData 安全岛,以其在硬件层面“看得见”的安全性,吸引了更多的企业和用户可以放心地将敏感数据、关键业务部署在云端,享受更多云服务带来的优势,从而更大限度发挥数据的价值,有效助力用户赋能数据应用的落地和价值产出。
更多云端场景正在引入机密计算
事实上,随着机密计算方案的不断演进,以及英特尔等积极参与方在相关软硬件技术上的持续推进,更多在云端部署具有优势的应用正在开展机密计算的实践与探索,包括区块链、边缘云以及物联网等。英特尔® SGX、英特尔® TDX 等机密计算相关技术在这些领域的运用,正帮助更多云服务用户摆脱随处可见的数据孤岛,在敏感型工作负载、数据应用和数据分析上获得更强的竞争力。