目前�����,網(wǎng)絡(luò)威脅行為日益復(fù)雜����,幾乎每周都能聽到關(guān)于重大數(shù)據(jù)泄露事件的新聞����,網(wǎng)絡(luò)安全已遠(yuǎn)超IT領(lǐng)域的范圍,成為備受高層關(guān)注的問題�����。
目前��,網(wǎng)絡(luò)威脅行為日益復(fù)雜,幾乎每周都能聽到關(guān)于重大數(shù)據(jù)泄露事件的新聞�����,網(wǎng)絡(luò)安全已遠(yuǎn)超IT領(lǐng)域的范圍����,成為備受高層關(guān)注的問題。正因如此���,企業(yè)范圍內(nèi)的機(jī)密計(jì)算越來越受到重視——該計(jì)算策略通過受信執(zhí)行環(huán)境(TEE)����,對內(nèi)存中正在處理的數(shù)據(jù)進(jìn)行保護(hù)���,避免其暴露給整個系統(tǒng)�。
在深入了解Amazon Nitro Enclaves之前����,先來普及一些背景知識。在我們最近發(fā)布的報(bào)告The Rise of Confidential Computing—Trust:The New Battlefield in the Age of Digital Transformation(《機(jī)密計(jì)算的興起——信任:數(shù)字化轉(zhuǎn)型的新戰(zhàn)場》)中���,我和同事Shelly Kramer探討了機(jī)密計(jì)算的優(yōu)勢�����,包括對使用中的數(shù)據(jù)進(jìn)行保護(hù)���、并允許開發(fā)技術(shù)部署選項(xiàng)以避免內(nèi)部威脅��。
當(dāng)今的商業(yè)環(huán)境下����,數(shù)據(jù)泄露可能會造成停工期間高達(dá)數(shù)百萬美元的收入損失��,并對企業(yè)�����、消費(fèi)者信任和品牌聲譽(yù)造成極其惡劣的影響����。機(jī)密計(jì)算的作用,就在于解決需立即關(guān)注的重大挑戰(zhàn)����。云服務(wù)供應(yīng)商正積極嘗試各種解決方案以滿足這一需求�。各家供應(yīng)商又采用了略為不同的方法來滿足提供受信執(zhí)行環(huán)境的需求�。我們認(rèn)為�,Amazon Nitro Enclaves采用的方法值得關(guān)注,并將受益于對任何云服務(wù)采用者的深入評估和考慮����。
至于說到最大的優(yōu)勢?與處理器無關(guān)����,Amazon Nitro Enclaves可在大多數(shù)基于Intel和AMD的Amazon EC2實(shí)例類型上使用,為最終用戶提供最大的靈活性��。
前面說了怎么多���,你知道Amazon Nitro Enclaves是什么嗎�����?
Amazon Nitro Enclaves是一項(xiàng)Amazon EC2功能��,使客戶能夠創(chuàng)建隔離的計(jì)算環(huán)境�,并通過物理基礎(chǔ)架構(gòu)的硬件功能提供對其強(qiáng)大的保護(hù)��,使其免受環(huán)境中其他部分的影響��。這樣,用戶可以基于安全區(qū)域來創(chuàng)建或獲取其信任的應(yīng)用程序����,從而在無需信任操作系統(tǒng)、特權(quán)管理員或?qū)ζ溆?jì)算基礎(chǔ)結(jié)構(gòu)有訪問權(quán)限的對手的安全性的情況下����,也能保證所操作敏感數(shù)據(jù)或使用的知識產(chǎn)權(quán)的保護(hù)。安全區(qū)域不提供永久式存儲���,也沒有外部聯(lián)網(wǎng)或操作員訪問權(quán)限��;通信只能通過受信任的渠道與創(chuàng)建環(huán)境的實(shí)例進(jìn)行��。
Amazon Nitro Enclaves使用安全虛擬套接字(VSOCK)接口——這是自2016年以來Linux內(nèi)核中通常提供的開源技術(shù)——作為安全區(qū)域中運(yùn)行的“受信”軟件與Amazon EC2實(shí)例中運(yùn)行的“一般”或“不受信”軟件之間的唯一通信渠道��。最終���,該功能既支持采用分區(qū)和隔離模式來保護(hù)數(shù)據(jù),同時也有效降低了表層攻擊的成功率����。
至于最大的優(yōu)勢?Amazon Nitro Enclaves與處理器無關(guān)����,它可在大多數(shù)基于Intel和AMD的Amazon EC2實(shí)例類型上使用,為最終用戶提供最大的靈活性����。
Amazon Nitro Enclaves如何成為TEE最佳方案?與機(jī)密計(jì)算又有何聯(lián)系��?
亞馬遜云科技在Amazon Nitro Enclaves的推廣中并未提及“機(jī)密計(jì)算”���。當(dāng)前�����,行業(yè)分析師���、財(cái)團(tuán)和亟待改善安全狀況的客戶對這一概念有著不同的理解。一段時間以來����,IT部門著眼于通過加密來保護(hù)靜態(tài)數(shù)據(jù)和傳輸?shù)臄?shù)據(jù),但在內(nèi)存數(shù)據(jù)的保護(hù)方面�,選擇乏善可陳。這一情況引起了管理層和監(jiān)管者的質(zhì)疑和重視。
一些云服務(wù)提供商在營銷中稱�,“機(jī)密計(jì)算”讓客戶將責(zé)任托付給受信任的硬件制造商,而減少了對云服務(wù)供應(yīng)商的信任����。而亞馬遜云科技始終向客戶傳遞這一清晰的理念:亞馬遜云科技負(fù)責(zé)云基礎(chǔ)架構(gòu)“本身”的安全性,而客戶負(fù)責(zé)的是“在云中”運(yùn)行的安全性��。
通過在Amazon Nitro系統(tǒng)中內(nèi)置技術(shù)和運(yùn)營保障的結(jié)合����,亞馬遜云科技為客戶提供了在最新一代Amazon EC2實(shí)例上運(yùn)行客戶計(jì)算工作的安全和機(jī)密保障——即亞馬遜云科技設(shè)計(jì)的硬件和固件的特有組合。Nitro Hypervisor是該系統(tǒng)的一個組件�����。它是一個基于固件的虛擬機(jī)管理程序��,通過處理器的硬件功能在創(chuàng)建Amazon EC2實(shí)例和Amazon Nitro Enclaves時嚴(yán)格隔離物理系統(tǒng)資源���。和商業(yè)成品組件或商用開源虛擬化解決方案不同����,Nitro Hypervisor專用于滿足亞馬遜云科技及其客戶的安全和運(yùn)營需求�����,包括保護(hù)當(dāng)前運(yùn)行的最為嚴(yán)苛、敏感性最高的工作內(nèi)容�����。
從體系結(jié)構(gòu)上講�����,一些針對服務(wù)器處理器�����、基于硬件的新型技術(shù)保護(hù)措施��,例如AMD SEV-ES���、AMD SEV-SNP、Intel?TDX或ARM機(jī)密計(jì)算架構(gòu)(ARM Confidential Compute Architecture���,CCA)可以集成到Amazon Nitro Enclaves的實(shí)現(xiàn)中����,且不會實(shí)際改變用戶體驗(yàn)或影響安全區(qū)域應(yīng)用程序的兼容性。這就為亞馬遜云科技提供了一種方法來繼續(xù)提高其用于保證隔離和保密的硬件功能的門檻�����。
某些客戶可能會要求直接采用針對具體供應(yīng)商�、基于硬件的受信執(zhí)行環(huán)境,例如Intell?SGX���,而不是支持多個硬件供應(yīng)商的TEE(例如Amazon Nitro Enclaves)��。在這些情況下����,云服務(wù)提供商將需要提供對專有硬件功能的訪問�。客戶應(yīng)了解����,這種做法可能會縮小可用容量,或額外增加實(shí)現(xiàn)的復(fù)雜性���。
基本了解Amazon Nitro Enclaves之后�����,現(xiàn)在一起來看看在實(shí)際應(yīng)用表現(xiàn)怎么樣吧~
從金融服務(wù)�����、國防到生命科學(xué)�,Amazon Nitro Enclaves可應(yīng)用于多個具有敏感數(shù)據(jù)安全保護(hù)需求的行業(yè)及領(lǐng)域。Amazon Nitro Enclaves通過創(chuàng)建高度受控�、受限、受約束的用戶環(huán)境�����,幫助防御從內(nèi)部到外部的多種復(fù)雜威脅�。
Amazon Nitro Enclaves的部分優(yōu)勢包括:
1 靈活性
Amazon Nitro Enclaves可以控制分配給安全區(qū)域環(huán)境的內(nèi)存和處理能力�����,并且用戶可以根據(jù)需要更改CPU內(nèi)核和內(nèi)存�����。Amazon Nitro Enclaves可以在多種CPU供應(yīng)商支持的Amazon EC2實(shí)例上使用��,并與所有編程語言及框架兼容��。
2 低成本
Amazon Nitro Enclaves基本上不產(chǎn)生費(fèi)用。亞馬遜云科技僅針對組織的初始Amazon EC2實(shí)例和其他亞馬遜云科技服務(wù)計(jì)收標(biāo)準(zhǔn)費(fèi)用��。
3 安全性
對任何類型敏感信息的保護(hù)顯然是重中之重�。Amazon Nitro Enclaves根據(jù)有簽名的證明文件進(jìn)行認(rèn)證,用以驗(yàn)證安檢的身份并確保只有授權(quán)的代碼才能運(yùn)行�����。
既然Amazon Nitro Enclaves有這么多優(yōu)勢�����,那它的存在有什么重要意義呢�?
正如我們在報(bào)告中所述,機(jī)密計(jì)算目前尚處于起步階段�。所有的大型云服務(wù)公司都在努力開發(fā)最安全的技術(shù),以實(shí)現(xiàn)任何狀態(tài)下的數(shù)據(jù)保護(hù)����。一個組織最適合的方案將始終取決于用戶的喜好和特定的業(yè)務(wù)需求。
我們認(rèn)為����,多年以來,亞馬遜云科技在Nitro System的硬件技術(shù)上大量投入�,證明了這一主流趨勢:各大科技巨頭越來越多地以新穎��、重要的方式來解決數(shù)據(jù)安全問題��。Amazon Nitro Enclaves的推出���,便是將這些投入的成果將直接交付給客戶,對他們在云中存儲和處理的敏感數(shù)據(jù)和進(jìn)行隔離和保護(hù)�。
總體而言,我們認(rèn)為整個行業(yè)對所有狀態(tài)下數(shù)據(jù)安全性的關(guān)注和投入會不斷加強(qiáng)����。我們期盼“機(jī)密計(jì)算和受信執(zhí)行環(huán)境”方面的重大進(jìn)展,并且期待亞馬遜云科技一如既往地以其具備綜合實(shí)力的產(chǎn)品來參與這一領(lǐng)域的激烈競爭��。
Futurum Research提供行業(yè)研究和分析��。信息列僅用于教育學(xué)習(xí)交流��,不應(yīng)以任何方式視作投資建議�����。
(聲明:此報(bào)告翻譯自Futurum Research發(fā)布的《AWS Nitro Enclaves:The AWS Answer For Trusted Execution Environments》���。原文為英文報(bào)告���,F(xiàn)uturum Research不對翻譯過程中可能導(dǎo)致的內(nèi)容不準(zhǔn)確負(fù)責(zé)。)
立即登錄�,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于亞馬遜云科技,本站不擁有所有權(quán)�����,不承擔(dān)相關(guān)法律責(zé)任��。文章內(nèi)容系作者個人觀點(diǎn)����,不代表快出海對觀點(diǎn)贊同或支持。如有侵權(quán)����,請聯(lián)系管理員(zzx@kchuhai.com)刪除!
閩公網(wǎng)安備 35010202001226號
