公共云能否成為機(jī)密？

人們常說(shuō)，生命中唯一確定的兩件事就是死亡和稅收。在過去的十年中，數(shù)據(jù)泄露似乎可以被添加到這個(gè)列表中。一個(gè)組織真的可以完全安全嗎?不必?fù)?dān)心丟失機(jī)密或受監(jiān)管的數(shù)據(jù)、公司機(jī)密以及(越來(lái)越多的)專有算法和人工智能代碼?

現(xiàn)實(shí)情況是，完全保護(hù)數(shù)據(jù)或其他數(shù)字資產(chǎn)極其困難。內(nèi)部部署、私有云和公共云數(shù)據(jù)都容易受到內(nèi)部人員和惡意軟件的攻擊。防御者只需在檢測(cè)和關(guān)閉攻擊時(shí)失敗一次，就會(huì)導(dǎo)致災(zāi)難。人們可以爭(zhēng)辯說(shuō)，每個(gè)環(huán)境都相對(duì)安全，但現(xiàn)實(shí)是，沒有什么是完全安全的。

根據(jù)451項(xiàng)研究，近70%的CISO表示，公共云不能被合理信任，無(wú)法對(duì)敏感數(shù)據(jù)和工作負(fù)載保密。西索斯知道，只要有足夠的時(shí)間，即使是無(wú)意的違約也是不可能的。而且這種知識(shí)并不局限于CISO：每個(gè)公共云提供商都了解他們的漏洞。

雖然CISO繼續(xù)為其最敏感的工作負(fù)載維護(hù)私有數(shù)據(jù)中心，但公共云供應(yīng)商的應(yīng)對(duì)措施是部署安全計(jì)算技術(shù)，旨在將易受攻擊的公共計(jì)算資源轉(zhuǎn)化為完全機(jī)密的資源。

AWS，例如，最近發(fā)布的AW-NITRO-EncLaves，一個(gè)硬件卡附加到現(xiàn)有的AWS主機(jī)，支持“使用中的數(shù)據(jù)”隔離安全執(zhí)行環(huán)境的基礎(chǔ)。MicrosoftAzure機(jī)密計(jì)算也部署了類似的功能，最近部署了同時(shí)支持IntelSGX和AMDSEV技術(shù)的主機(jī)。谷歌宣布了類似的功能，利用AMD的SEV專有安全計(jì)算技術(shù)。

不幸的是，在實(shí)踐中，這些硅級(jí)技術(shù)具有可用性限制，阻礙了IT組織的廣泛采用。這主要是因?yàn)樗麄冎魂P(guān)注保護(hù)未加密的內(nèi)存和長(zhǎng)期使用的數(shù)據(jù)，而這正是目前運(yùn)行的幾乎所有主機(jī)的安全弱點(diǎn)。存儲(chǔ)數(shù)據(jù)和網(wǎng)絡(luò)通信需要通過單獨(dú)的點(diǎn)技術(shù)進(jìn)行補(bǔ)救，這些技術(shù)會(huì)造成復(fù)雜的筒倉(cāng)和潛在的保護(hù)缺口。

盡管這些技術(shù)非常強(qiáng)大，但對(duì)于擁有數(shù)千個(gè)遺留和打包應(yīng)用程序的組織來(lái)說(shuō)，這些技術(shù)仍然不可行。即使其中一些應(yīng)用程序可以修改，也很少有首席信息官愿意進(jìn)行代價(jià)高昂的修改，將其最重要的應(yīng)用程序鎖定在一個(gè)云供應(yīng)商和機(jī)密計(jì)算技術(shù)堆棧上。

好消息是，這些相同的機(jī)密計(jì)算技術(shù)為一個(gè)新的基于軟件的計(jì)算結(jié)構(gòu)奠定了基礎(chǔ)，這使得IT組織更容易采用安全計(jì)算，而不管底層技術(shù)和公共云。它們還提供了一個(gè)強(qiáng)大的平臺(tái)，在這個(gè)平臺(tái)上可以構(gòu)建一類新的安全計(jì)算應(yīng)用程序，稱為機(jī)密云。

什么是機(jī)密云?

機(jī)密云是由一個(gè)或多個(gè)公共云提供商組成的安全機(jī)密計(jì)算環(huán)境。機(jī)密云中的應(yīng)用程序、數(shù)據(jù)和工作負(fù)載受底層主機(jī)中硬件級(jí)加密、內(nèi)存隔離和其他服務(wù)的組合保護(hù)。

與微細(xì)分和主機(jī)虛擬化一樣，機(jī)密云中的資源以默認(rèn)的零信任狀態(tài)與所有流程和用戶隔離。但機(jī)密云不僅僅隔離網(wǎng)絡(luò)通信，它隔離了工作負(fù)載使用的整個(gè)it環(huán)境，包括計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)。它支持幾乎任何應(yīng)用程序。

由于機(jī)密云保護(hù)是數(shù)據(jù)不可分割的一部分，因此無(wú)論數(shù)據(jù)到哪里，保護(hù)都會(huì)延伸到哪里。傳統(tǒng)企業(yè)邊界是由物理設(shè)備定義的，但機(jī)密云的邊界是由硬件隔離、加密和明確的最低特權(quán)訪問策略的不可分割的組合建立的。歸根結(jié)底，工作負(fù)載和數(shù)據(jù)的處理完全不受內(nèi)部人員、惡意參與者和惡意進(jìn)程的影響，即使在物理主機(jī)出現(xiàn)故障的情況下，工作負(fù)載的所有方面都是安全的。

機(jī)密云的實(shí)際承諾

聽起來(lái)很復(fù)雜?在實(shí)踐中，不應(yīng)該這樣。

機(jī)密云軟件結(jié)構(gòu)的另一個(gè)特點(diǎn)是，它對(duì)用戶和應(yīng)用程序都是透明的。與服務(wù)器虛擬化技術(shù)非常相似，機(jī)密云能夠以與當(dāng)前完全相同的方式部署現(xiàn)有工作負(fù)載。

數(shù)據(jù)安全成為底層硬件/軟件堆棧的固有服務(wù)，而不是單個(gè)應(yīng)用程序或其他安全功能(如存儲(chǔ)/網(wǎng)絡(luò)加密和密鑰管理)的責(zé)任。

通過這種方式實(shí)現(xiàn)，幾乎任何應(yīng)用程序都可以在機(jī)密云中運(yùn)行，而無(wú)需對(duì)開發(fā)或操作進(jìn)行任何更改。由于保護(hù)與數(shù)據(jù)本身一起流動(dòng)，因此將機(jī)密云用于分布式云本機(jī)應(yīng)用程序有可能顯著降低復(fù)雜性和成本，同時(shí)消除應(yīng)用程序的大部分攻擊面。

機(jī)密的云彩在地平線上嗎?

機(jī)密云的基礎(chǔ)和軟件現(xiàn)在可供使用。幾乎所有主要的公共云提供商都在全球部署了某種形式的保密計(jì)算硬件，作為其當(dāng)前主機(jī)產(chǎn)品的可點(diǎn)擊選項(xiàng)。構(gòu)成機(jī)密云的軟件也很容易獲得，通常直接通過相同的云提供商獲得。

可以快速實(shí)例化和測(cè)試運(yùn)行預(yù)打包應(yīng)用程序(包括市場(chǎng)的數(shù)據(jù)庫(kù)、AI引擎等)的概念驗(yàn)證環(huán)境。這些組件現(xiàn)在都在這里，形成了一個(gè)完整的解決方案，可以在不中斷的情況下輕松采用。

云的規(guī)模和經(jīng)濟(jì)性是不可否認(rèn)的?，F(xiàn)在，機(jī)密云消除了最后剩下的安全問題，企業(yè)不再需要在安全性和云基礎(chǔ)設(shè)施的優(yōu)勢(shì)之間進(jìn)行權(quán)衡。最后，一種強(qiáng)大的新型云安全可以控制……而且它將秘密地這樣做。

本文名稱：公共云能否成為機(jī)密？
鏈接分享：http://www.muchs.cn/news31/204331.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站排名、電子商務(wù)、網(wǎng)站改版、網(wǎng)站內(nèi)鏈、商城網(wǎng)站、手機(jī)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)