到目前为止,大多数组织应该已经掌握了跨混合企业环境的数据保护的前两个支柱,即保护静态数据和传输中的数据。第三个数据保护支柱-保护使用中的数据(即在内存中和计算期间保护和加密使用中的数据)-难以捉摸,但正在通过通常称为机密性的变革行动来解决。计算。
技术业务领导者理想地追求转型计划,假设普遍存在的机密计算可用性和使用中的数据安全性将是五年内云原生的默认设置。
对于许多组织而言,完成其数字化转型之旅的条件是能够绝对确保绝对没有人–不是受信任的系统管理员,OS开发人员,云提供商,执法人员,恶意内部人员或拥有强大零功能的攻击者天的漏洞利用–可以秘密访问或操纵他们委托给云的数据和知识产权。因此,作为数据安全性的第三大支柱,机密计算将越来越成为任何部署云的业务应用程序的先决条件。
支持机密计算的技术,平台和体系结构以惊人的速度发展,尤其是与静态数据加密从1990年代初期受密码保护的ZIP文件发展到如今已启用的加密技术所花费的数十年相比,默认情况下,基于硬件的加密已锁定到物理计算系统,或者继续努力将传输中的默认数据从HTTP转换为安全HTTPS(最好使用TLS v1.3)。
全球大流行尚未阻止机密计算中公共云的发展和新服务的推出。在支持Intel安全加密虚拟化的服务器上使用基于硬件的TEE的机密虚拟机的预览,通常可用于在实施Intel Software Guard Extensions(Intel SGX)的服务器上基于机密的可信执行环境(TEE)之上构建的机密计算虚拟化基础架构(AMD SEV)扩展。同时,机密计算选项已开始跨云服务扩展,以涵盖Kubernetes机密节点,始终加密的SQL数据库,机密机器学习接口,HSM密钥管理和IoT边缘计算。
安全领导者可能很难跟上基础硬件的发展及其适用性。例如,英特尔SGX的内存完整性保护功能非常适合于高度安全敏感但工作量较小的工作,而AMD SEV可用于“提升和转移”现有复杂或遗留应用程序和服务,而不必重构现有代码。同时,英特尔的信任域扩展(Intel TDX)将启用硬件隔离的虚拟机(称为信任域),AMD的安全加密虚拟化加密状态(SEV-ES)将帮助确保来宾VM停止运行后就可以进行加密和验证。来自Intel,AMD,Arm,NVIDIA等公司的许多硬件进步,有助于减轻新的和潜在的侵入式内存,计算,
显然,随着这些新的基于硬件的解决方案被主要的云提供商及其最先进的客户采用和部署,机密计算正处于过渡时期。
尽管很容易迷失芯片提供商所提供的基于硬件的安全功能,但安全领导者应该计划的长期假设是,物理基础架构将可验证地确保所保护的进程,内存和数据保留或操纵将不受任何人和所有人的注意,尤其是云和软件堆栈提供程序的保护,并且默认情况下,所有云服务(来自领先的公共云提供程序)将以安全的使用中数据模式运行。可以合理地假设,在五年内,“机密计算”一词将变得多余,并成为所有云服务的假定本机组件。
同时,机密计算功能和服务将成为大型云提供商的竞争优势。
随着底层硬件的进步以及公共云提供商在其客户可用服务中扩展了使用中的数据安全性,完整性和证明功能,业务技术领导者将需要分别评估每个云服务并承担一段时间的特定于云的锁定-在定制应用程序中,他们自己的业务将进行设计。
金融服务行业中的反洗钱到客户分析,医疗服务中保护隐私的协作性疾病诊断和药物开发,政府机构之间的联合情报分析和反腐败等机会都是新近实现的一小部分来自采用尖端机密计算功能的云解决方案的组织的隐私和机密保护解决方案。
一些企业可能会满足于等待使用中的数据安全性无处不在以完成其数字转换。在机密计算功能不断扩展和新的安全云服务不断发展的过程中,技术敏捷型企业可以通过一个清晰的窗口进行创新,并与其云提供商合作,将新的安全产品类别推向市场,领先于两个竞争对手和监管机构。