公共云能否成為機密�?
發(fā)布時(shí)間:2021-11-03 13:46
來(lái)源:360機房
閱讀:0
作者:Harris編譯
欄目: 云計算
歡迎投稿:712375056
機密云是由一個(gè)或多個(gè)公共云提供商組成的安全機密計算環(huán)境����。機密云中的應用程序����、數據和工作負載受底層主機中硬件級加密��、內存隔離和其他服務(wù)的組合保護�����。
人們常說(shuō)���,生命中唯一確定的兩件事就是死亡和稅收��。在過(guò)去的十年中�����,似乎可以被添加到這個(gè)列表中�。一個(gè)組織真的可以完全安全嗎?不必擔心丟失機密或受監管的數據����、公司機密以及(越來(lái)越多的)專(zhuān)有算法和人工智能代碼?
現實(shí)情況是�����,完全保護數據或其他數字資產(chǎn)極其困難�。內部部署��、私有云和數據都容易受到內部人員和惡意軟件的攻擊��。防御者只需在檢測和關(guān)閉攻擊時(shí)失敗一次����,就會(huì )導致災難���。人們可以爭辯說(shuō)���,每個(gè)環(huán)境都相對安全�����,但現實(shí)是�,沒(méi)有什么是完全安全的���。
根據451項研究����,近70%的CISO表示�����,公共云不能被合理信任���,無(wú)法對敏感數據和工作負載保密�。西索斯知道�,只要有足夠的時(shí)間�,即使是無(wú)意的違約也是不可能的���。而且這種知識并不局限于CISO:每個(gè)公共云提供商都了解他們的漏洞����。
雖然CISO繼續為其最敏感的工作負載維護私有數據中心����,但公共云供應商的應對措施是部署安全計算技術(shù)���,旨在將易受攻擊的公共計算資源轉化為完全機密的資源�。
AWS��,例如�,最近發(fā)布的AW-NITRO-EncLaves�����,一個(gè)硬件卡附加到現有的AWS主機���,支持“使用中的數據”隔離安全執行環(huán)境的基礎��。MicrosoftAzure機密計算也部署了類(lèi)似的功能�����,最近部署了同時(shí)支持IntelSGX和AMDSEV技術(shù)的主機�。谷歌宣布了類(lèi)似的功能����,利用AMD的SEV專(zhuān)有安全計算技術(shù)����。
不幸的是�,在實(shí)踐中���,這些硅級技術(shù)具有可用性限制���,阻礙了IT組織的廣泛采用����。這主要是因為他們只關(guān)注保護未加密的內存和長(cháng)期使用的數據�����,而這正是目前運行的幾乎所有主機的安全弱點(diǎn)���。存儲數據和網(wǎng)絡(luò )通信需要通過(guò)單獨的點(diǎn)技術(shù)進(jìn)行補救����,這些技術(shù)會(huì )造成復雜的筒倉和潛在的保護缺口����。
盡管這些技術(shù)非常強大���,但對于擁有數千個(gè)遺留和打包應用程序的組織來(lái)說(shuō)�����,這些技術(shù)仍然不可行����。即使其中一些應用程序可以修改���,也很少有首席信息官愿意進(jìn)行代價(jià)高昂的修改��,將其最重要的應用程序鎖定在一個(gè)云供應商和機密計算技術(shù)堆棧上�。
好消息是���,這些相同的機密計算技術(shù)為一個(gè)新的基于軟件的計算結構奠定了基礎��,這使得IT組織更容易采用安全計算�,而不管底層技術(shù)和公共云����。它們還提供了一個(gè)強大的平臺����,在這個(gè)平臺上可以構建一類(lèi)新的安全計算應用程序�,稱(chēng)為機密云��。
什么是機密云?
機密云是由一個(gè)或多個(gè)公共云提供商組成的安全機密計算環(huán)境����。機密云中的應用程序�、數據和工作負載受底層主機中硬件級加密����、內存隔離和其他服務(wù)的組合保護�。
與微細分和主機虛擬化一樣���,機密云中的資源以默認的零信任狀態(tài)與所有流程和用戶(hù)隔離��。但機密云不僅僅隔離網(wǎng)絡(luò )通信����,它隔離了工作負載使用的整個(gè)it環(huán)境�����,包括計算�、存儲和網(wǎng)絡(luò )�����。它支持幾乎任何應用程序�����。
由于機密云保護是數據不可分割的一部分�,因此無(wú)論數據到哪里����,保護都會(huì )延伸到哪里��。傳統企業(yè)邊界是由物理設備定義的����,但機密云的邊界是由硬件隔離���、加密和明確的最低特權訪(fǎng)問(wèn)策略的不可分割的組合建立的���。歸根結底����,工作負載和數據的處理完全不受內部人員�、惡意參與者和惡意進(jìn)程的影響��,即使在物理主機出現故障的情況下�,工作負載的所有方面都是安全的�����。
機密云的實(shí)際承諾
聽(tīng)起來(lái)很復雜?在實(shí)踐中����,不應該這樣��。
機密云軟件結構的另一個(gè)特點(diǎn)是�,它對用戶(hù)和應用程序都是透明的����。與服務(wù)器虛擬化技術(shù)非常相似�����,機密云能夠以與當前完全相同的方式部署現有工作負載�����。
數據安全成為底層硬件/軟件堆棧的固有服務(wù)����,而不是單個(gè)應用程序或其他安全功能(如存儲/網(wǎng)絡(luò )加密和密鑰管理)的責任�。
通過(guò)這種方式實(shí)現�,幾乎任何應用程序都可以在機密云中運行�����,而無(wú)需對開(kāi)發(fā)或操作進(jìn)行任何更改���。由于保護與數據本身一起流動(dòng)�����,因此將機密云用于分布式云本機應用程序有可能顯著(zhù)降低復雜性和成本�,同時(shí)消除應用程序的大部分攻擊面�。
機密的云彩在地平線(xiàn)上嗎?
機密云的基礎和軟件現在可供使用���。幾乎所有主要的公共云提供商都在全球部署了某種形式的保密計算硬件�,作為其當前主機產(chǎn)品的可點(diǎn)擊選項����。構成機密云的軟件也很容易獲得�,通常直接通過(guò)相同的云提供商獲得����。
可以快速實(shí)例化和測試運行預打包應用程序(包括市場(chǎng)領(lǐng)先的數據庫��、AI引擎等)的概念驗證環(huán)境����。這些組件現在都在這里�,形成了一個(gè)完整的解決方案�,可以在不中斷的情況下輕松采用��。
云的規模和經(jīng)濟性是不可否認的?,F在����,機密云消除了最后剩下的安全問(wèn)題���,企業(yè)不再需要在安全性和云基礎設施的優(yōu)勢之間進(jìn)行權衡�����。最后�����,一種強大的新型云安全可以控制……而且它將秘密地這樣做��。
