使用英特尔® SGX 为机密计算提供动力

主要亮点:

  • 随着当今对数据安全性的不断提高的要求,机密计算正在领先企业的纵深防御网络安全战略中扮演着重要的角色。

  • 由英特尔® Software Guard Extensions(英特尔 SGX)提供支持的机密计算能够创造可信的执行环境,帮助保护您的数据。

  • 各行各业都可以从机密计算中受益,尤其是那些具有严格监管和合规要求的行业。

  • 英特尔 SGX 正持续不断地得到强化,所有主要的 CSP,包括 IBM、阿里巴巴、百度和微软都有部署此项技术。

author-image

作者

今天,保护公司数据比以往任何时候都更加重要。随着越来越多的企业和购物转移到网上,我们看到网络犯罪呈显著上升趋势。仅在 2020 年上半年就有 360 亿条敏感数据记录被曝光。1 犯罪分子继续以个人和组织为目标,试图访问信用卡数据、医疗保健记录和其他个人信息。我们相信对抗这种趋势的方法之一是实施根植于芯片的“纵深防御”战略。机密计算由英特尔® Software Guard Extensions(英特尔 SGX)提供支持,它能够增加一个称为可信执行环境的附加层,帮助保护您最有价值的资产 — 您的数据。

每个 IT 管理员都知道,由于隐私和安全问题,数据经常被隔离在孤岛中,而且没有一种简单的方法让组织能够合并这些数据并从中获取业务洞察力。英特尔 SGX 提供了加密的安全区,可作为数据孤岛的安全替代方案,不仅适用于单个组织内部,而且在与外部群组合作时也能确保安全 — 其设计宗旨就是杜绝将数据暴露给任何未经授权访问的人。

英特尔正帮助行业领导者,在包括金融、医疗保健和公共部门在内的广泛行业中实施机密计算。我们正在帮助数量日益增多的设备和端点处理各种数据,例如银行信息、健康记录、信用卡数据、密码和密钥等。

什么是机密计算?

直到最近为止,数据安全的重点一直都在于保护静态(位于存储中)和在途(在不同位置之间移动)的数据。而由英特尔 SGX 提供支持的机密计算则使安全性更进一步,它有助于确保数据在内存中被有效处理时也能受到保护。做到这一点要归功于建立基于硬件的可信执行环境 (TEE)。不仅可以将所有关键数据存储在 TEE 中,甚至是访问和处理这些数据的应用程序和算法也能存储在其中。

可信计算基 (TCB) 由一组确实可信的硬件、软件和固件组成,其作用是确保关键数据的机密性和完整性。英特尔 SGX 将信任边界缩小到仅包括安全区的内容和处理器本身,使系统内部的受攻击面最小化,从而更好地保护数据。在今天这个以云为中心的世界里,这一点尤为重要。甚至连云软件堆栈和云管理员也不得进入 TEE。这意味着许多过去因安全顾虑或合规性问题被认为过于敏感而无法上传到云的工作负载,现在也可以利用云服务的成本优势和可访问性优势。

最新的机密计算示例

除了在云中实施之外,机密计算还让以前根本不可能或不切实的新用例成为了现实。例如,在许多以数据安全为根本的行业中,保密性方面的顾虑让开发人员放弃使用企业区块链技术来实施解决方案,因为这些技术需要完整性保护,而这通常会侵犯有效载荷隐私。但机密计算帮助他们实现了这个目标。此外,开发人员也能从现有应用中获益。他们可以在 TEE 内创建安全容器,然后将现有应用上传到该容器中,从而避免了重复开发,并且还能获得与其他采用安全区的应用程序类似的安全级别。现在,客户不再需要在安全性和工作负载效率之间作出抉择。

机密计算的另一个重要用途涉及联合学习:虽然不同组织之间能够共享数据或进行处理,但每一个组织能够确信只有他们自己才能深入洞察数据,其他人都无权接触。联合学习为公司间提供了合作的机会 — 即使他们是竞争对手。例如,两家致力于疫苗开发的制药公司可以借助机密计算技术,将各自的独立研究数据集合并为置于安全包围区内的一个聚合数据集。一旦数据进入包围区,即使数据集的所有者也无法看到包围区中的内容。但人工智能应用程序和算法却仍然能够访问这个全新的组合数据集,利用其中的数据进行人工智能训练、运行推理操作,并生成过去无法得出的新结论。这类联合学习使不同的机构得以建立协作,并从模型中得出更优化的结果 — 同时保证数据仍为私有。

各行各业都可以从机密计算中受益,尤其是那些具有严格监管和合规要求的行业。

医疗保健 :机密计算可以使医疗机构协同工作以提高患者护理水平。例如,他们可以显著改善治疗模型,就像放射科医生对大脑 MRI 扫描影像进行标注以检测和判断肿瘤状况。扫描提供了必要的数据来训练深度学习模型,以帮助完成此任务。联合学习现在提供的功能是在同一个人工智能模型中从世界各地的放射科医生那里获取专业知识,从而为临床医生提供了宝贵的辅助,并为患者带来更快的诊断和治疗速度。

金融:银行、经纪人和其他金融机构也能够受益于机密计算。例如,这些机构可以合作建立治理网络,共享交易数据,共同开展反洗钱工作。他们可以将数据上传到中央节点,由人工智能算法提供基于风险的评估,因此各组织能够在不分享交易历史数据的前提下更准确地发现高风险人员。

政府:公共部门组织的工作通常有着严格的保密要求,他们可以借助机密计算来解决过去极难解决(或不可能解决)的问题。负责相关领域的不同政府机构可以更好地合作以服务于公共利益。例如,美国疾病控制中心和食品药物管理局可以将涉及疫苗开发的机密数据集进行合并,生成两个机构都无法单独得出的结果,同时降低了泄露敏感数据的风险。

总结

随着当今对数据安全性的不断提高的要求,机密计算必定会在领先企业的纵深防御网络安全战略中扮演着越来越重要的角色。鉴于这一挑战的紧迫性,一旦组织体验到机密计算的安全性和优势,机密计算的用途也将越来越多。凭借数百项研究成果,英特尔 SGX 正持续不断地得到强化,所有主要的 CSP,包括 IBM、阿里巴巴、百度和微软都有部署此项技术。显而易见,拥有这款功能强劲,并且被数百家最具安全意识的企业所采纳的机密计算解决方案,不失为一个明智的选择。