過去大家對資料加密的認知多著重在資料靜止時的資料儲存加密,或是網路資料傳輸加密,很少關心當資料在處理器(CPU)運算時的資料安全問題。然而,當雲端運算愈趨普遍,運算節點脫離實體機房安全控管環境時,資料運算時的安全問題,也開始被重視。
機密運算是一項由硬體啟動的技術,它允許對正在執行的虛擬機(VM)相關資料進行加密,包括在工作負載執行時進行加密。即使在發生入侵的情況下,此功能也有助於防止可能的攻擊者和不良行為者存取機密資料。混合雲的機密運算為企業採用混合雲運算釋放新的潛力,尤其是在金融、醫療和保險等受監管行業。
隨著技術不斷演進,安全的議題已經不只是Nice to Have,惡意的攻擊已造成全球龐大的個資外洩、經濟或商譽的損失和傷害。對於許多公司而言,保護高度敏感的資料仍然是極大的挑戰。機密運算將消除混合雲資料遷移最大障礙,原因和預期帶來的效益如下:
一、即使在使用中也能保護敏感資料,並將雲運算的優勢擴展到敏感工作負載。一旦整合專有加密金鑰,機密運算將消除最大障礙,將敏感或高度管制的資料集和應用程式工作負載從缺乏彈性、昂貴的本地IT基礎架構,遷移到更靈活和現代的公有雲平台。
二、保護知識財產。機密運算不僅用於資料保護,可信賴的執行環境(Trusted Execution Environment,TEE)還可以用於保護專有商業邏輯、分析功能、機器學習算法或整個應用程式。
三、在新的雲解決方案上與合作夥伴安全地進行協作。例如企業可以將其敏感資料與另一家公司的專屬運算結合,以創建新的解決方案,無需公司共享任何不希望共享的資料或知識財。
四、消除選擇雲供應商時的擔憂。機密運算讓公司可以選擇最能滿足其技術和商業要求的雲運算服務,而不必擔心儲存和處理客戶資料、專屬技術和其他敏感資產。這也有助於減輕其他競爭的問題,如果雲提供者還提供更具競爭性的服務。
五、保護在邊緣處理的資料。邊緣運算是一種分散式運算架構,讓企業應用程式更接近資料源,例如IoT裝置或本地邊緣服務器。當將其用作分散式雲模式的一部分時,可以使用機密運算保護邊緣節點資料和應用程式。
IBM日前宣布與AMD共同開發協議,將以開源軟體、開放標準和開放系統架構為基礎,在混合雲環境中驅動機密運算,並支援高效能運算(HPC)和企業關鍵能力如虛擬化和加密等功能。當混合雲的布建場景趨於普遍時,這將有助於大幅降低資訊安全疑慮。
<本文作者:莊士逸現為台灣IBM公司技術長>