內(nèi)存中的安全功能已成數(shù)據(jù)安全的主要難題

內(nèi)存的安全功能并不是新鮮事，但是由大流行性促使的遠(yuǎn)程辦公加重了連接性，這意味著保護(hù)數(shù)據(jù)更加關(guān)鍵，甚至更具挑戰(zhàn)性。在跨5G等通信基礎(chǔ)設(shè)施共享數(shù)據(jù)的新興用例中，安全挑戰(zhàn)更加嚴(yán)峻。

同時(shí)，啟用安全性增加了內(nèi)存設(shè)計(jì)的復(fù)雜性。

甚至在邊緣計(jì)算、物聯(lián)網(wǎng)和車(chē)聯(lián)網(wǎng)的爆炸式增長(zhǎng)之前，內(nèi)存中的安全功能也在激增。電可擦可編程只讀存儲(chǔ)器（EEPROM）被信用卡、SIM卡和無(wú)鑰匙進(jìn)入系統(tǒng)所青睞，基于閃存的固態(tài)硬盤(pán)多年來(lái)一直包含加密功能。

內(nèi)存技術(shù)的進(jìn)步反映了數(shù)據(jù)爆炸和處理過(guò)程要移近數(shù)據(jù)的需求。內(nèi)存和存儲(chǔ)技術(shù)是并行的，更多的工作負(fù)載在內(nèi)存中被處理。我們將在即將到來(lái)的內(nèi)存技術(shù)中探討技術(shù)的變化曲線(xiàn)。

如今，安全性已經(jīng)嵌入內(nèi)存和網(wǎng)絡(luò)設(shè)備中，這些設(shè)備分布在整個(gè)計(jì)算系統(tǒng)和網(wǎng)絡(luò)環(huán)境中。但是這些基于內(nèi)存的安全能力仍然必須考慮人為錯(cuò)誤。信息安全專(zhuān)業(yè)人員必須處理用戶(hù)打開(kāi)虛假附件或路由器配置錯(cuò)誤的后果。

類(lèi)似地，安全內(nèi)存功能的好處將不會(huì)完全實(shí)現(xiàn)，除非正確配置，并在一個(gè)系統(tǒng)（也包括軟件）之間協(xié)調(diào)一致。但現(xiàn)在看來(lái)，雙SoC安全操作中心和片上系統(tǒng)正在融合。

Rambus等公司提供的產(chǎn)品旨在確保每個(gè)連接的安全，以應(yīng)對(duì)云計(jì)算和邊緣計(jì)算中不斷增加的服務(wù)器連接帶寬要求。與此同時(shí)，為反映每一個(gè)系統(tǒng)連接的必然性-黑客篡改閃存設(shè)備的內(nèi)容，英飛凌科技公司已經(jīng)擴(kuò)展了賽普拉斯Semper閃存。

這種篡改可能會(huì)影響到許多不同的計(jì)算平臺(tái)，包括自動(dòng)駕駛汽車(chē)，它本質(zhì)上是一個(gè)“在輪子上的服務(wù)器”。加上5G網(wǎng)絡(luò)增強(qiáng)了工業(yè)、醫(yī)療和物聯(lián)網(wǎng)場(chǎng)景。安全性不僅需要集成，而且還需要在許多不同設(shè)備的生命周期內(nèi)進(jìn)行管理，其中一些設(shè)備使用嵌入式內(nèi)存可能會(huì)持續(xù)10年。對(duì)于黑客來(lái)說(shuō)，內(nèi)存密集型應(yīng)用仍然是很具吸引力的。

分析人士Thomas Coughlin表示，加密密鑰管理對(duì)于確保系統(tǒng)的安全仍然至關(guān)重要。隨著非易失性存儲(chǔ)器技術(shù)的發(fā)展，嵌入式系統(tǒng)的安全性變得越來(lái)越重要。這是因?yàn)榧词乖O(shè)備斷電，數(shù)據(jù)也會(huì)持續(xù)存在。

這里的挑戰(zhàn)不在于增加安全功能。例如，SSD上的數(shù)據(jù)可以加密?！氨容^大的問(wèn)題是用戶(hù)使用這些功能是否容易，因?yàn)橥ǔＷ畋∪醯沫h(huán)節(jié)就是人。”

智能手機(jī)充當(dāng)了身份驗(yàn)證，生物識(shí)別取代了傳統(tǒng)密碼。這種情況留下了未加密數(shù)據(jù)意外暴露的可能性。Coughlin表示，危險(xiǎn)在于執(zhí)行的缺陷或復(fù)雜性。“讓安全變得容易是關(guān)鍵，而這不僅僅是加密數(shù)據(jù)并將其放入硬件那么簡(jiǎn)單?！?/p>

SSD和內(nèi)存供應(yīng)商Virtium的營(yíng)銷(xiāo)副總裁Scott Phillips表示，加密SSD只能做到這些。而我們需要一種多層的管理方法。雖然像Trusted Computing Group的Opal規(guī)范這樣的存儲(chǔ)規(guī)范可以達(dá)到BIOS級(jí)別，啟動(dòng)前可進(jìn)行身份驗(yàn)證，但配置和集中管理對(duì)于防止黑客入侵至關(guān)重要。

“即便是大公司，也無(wú)法提供大量全面、復(fù)雜的安全保障?！?/p>

隨著5G升級(jí)，人們正在努力實(shí)現(xiàn)數(shù)據(jù)路徑保護(hù)，保護(hù)數(shù)據(jù)中心，但實(shí)現(xiàn)基于硬件的安全仍面臨挑戰(zhàn)。

集成需求

在工業(yè)市場(chǎng)，需要不同系統(tǒng)的整合。Phillips表示， 亞馬遜的AWS和微軟Azure等超大型企業(yè)也在促進(jìn)數(shù)據(jù)安全。然而，這些防御必須一直實(shí)現(xiàn)到最終用戶(hù)。

盡管有越來(lái)越多的標(biāo)準(zhǔn)和要求，但安全方法的兼容性問(wèn)題仍然存在。供應(yīng)商仍試圖將自己定位為安全產(chǎn)品和服務(wù)的領(lǐng)導(dǎo)者。

“黑客總是領(lǐng)先一步，他們知道所有小漏洞。這些是他們要檢查的東西。這需要一個(gè)非常集中、細(xì)致的IT人員或部門(mén)來(lái)檢查并堵住所有這些漏洞。”

將安全性嵌入存儲(chǔ)設(shè)備而不是將其栓在存儲(chǔ)設(shè)備上的想法與軟件方法并無(wú)不同?！癉evSecOps” 是為了安全和隱私應(yīng)用程序開(kāi)發(fā)過(guò)程的一部分。

但我們知道，使用中的數(shù)據(jù)是數(shù)據(jù)加密領(lǐng)域的一個(gè)弱點(diǎn)。加密靜態(tài)數(shù)據(jù)和加密傳輸中的數(shù)據(jù)，這個(gè)流程已經(jīng)存在整個(gè)科技行業(yè)得到廣泛實(shí)施，但企業(yè)在處理信息時(shí)沒(méi)有任何可靠的方法來(lái)保護(hù)信息，這就是機(jī)密計(jì)算聯(lián)盟希望解決的問(wèn)題。

有一種被稱(chēng)為“機(jī)密計(jì)算”的新興框架由此誕生，“機(jī)密計(jì)算”一詞是由微軟創(chuàng)造，微軟也是該聯(lián)盟的主要支持者和創(chuàng)始成員之一，其他成員還包括阿里巴巴、Arm、百度、谷歌云、IBM、英特爾、紅帽和騰訊。旨在通過(guò)在基于硬件的可信執(zhí)行環(huán)境（TEE）中隔離計(jì)算來(lái)保護(hù)使用中的數(shù)據(jù)。在處理數(shù)據(jù)時(shí)，數(shù)據(jù)在內(nèi)存中加密，在CPU之外的其他地方加密。

這些科技公司寄希望于一個(gè)名為Open Enclave Software Development Kit的開(kāi)源框架，該框架最初是由微軟開(kāi)發(fā)的，用于構(gòu)建可以運(yùn)行在多種類(lèi)型計(jì)算機(jī)體系結(jié)構(gòu)上的所謂“可信執(zhí)行環(huán)境應(yīng)用”。

英特爾SGX允許創(chuàng)建受信任的執(zhí)行環(huán)境，這是主處理器的一個(gè)安全區(qū)域，它可以保證加載在其中的代碼和數(shù)據(jù)，并在保密性和完整性方面受到保護(hù)。

機(jī)密計(jì)算已被軟件和硬件廠(chǎng)商推廣，包括谷歌，它最近宣布了將其應(yīng)用于容器工作負(fù)載的功能，英特爾還通過(guò)其Intel software Guard擴(kuò)展為微軟Azure等云提供商提供一個(gè)可信的空間（TEE）。通俗的講就是把你的數(shù)據(jù)單獨(dú)放在一個(gè)安全的環(huán)境里執(zhí)行操作，普通操作系統(tǒng)和應(yīng)用程序無(wú)法直接訪(fǎng)問(wèn) TEE 的硬件和軟件資源。

機(jī)密計(jì)算需要共享安全責(zé)任。英特爾產(chǎn)品保證和安全架構(gòu)高級(jí)首席工程師Simon Johnson表示，人仍然是最薄弱的環(huán)節(jié)。

英特爾支持開(kāi)發(fā)者執(zhí)行代碼來(lái)保護(hù)數(shù)據(jù)。與此同時(shí)，機(jī)密計(jì)算運(yùn)動(dòng)源于企業(yè)要求處理數(shù)據(jù)而不考慮來(lái)源，包括敏感的醫(yī)療保健信息、財(cái)務(wù)記錄和知識(shí)產(chǎn)權(quán)。

平臺(tái)提供商應(yīng)該不能看到數(shù)據(jù)。“讓盡可能多的人遠(yuǎn)離你的東西。”

英特爾SGX包括基于硬件的內(nèi)存加密，隔離特定的應(yīng)用程序代碼和內(nèi)存中的數(shù)據(jù)。它允許用戶(hù)級(jí)代碼分配私有內(nèi)存“enclave”，目的是在與在更高特權(quán)級(jí)別上運(yùn)行的進(jìn)程隔離。

據(jù)悉Open Enclave仍處于開(kāi)發(fā)階段，但由于可信執(zhí)行環(huán)境已經(jīng)被普遍采用，因此相信進(jìn)展會(huì)相當(dāng)快。可信執(zhí)行環(huán)境指的是計(jì)算機(jī)芯片上的一個(gè)安全區(qū)域，用于加密芯片上加載的數(shù)據(jù)和代碼，使處理器的其他部分無(wú)法訪(fǎng)問(wèn)這些數(shù)據(jù)。換句話(huà)說(shuō)，可信執(zhí)行環(huán)境提供了一個(gè)隔離的執(zhí)行環(huán)境來(lái)保護(hù)正在使用中的數(shù)據(jù)，Open Enclave SDK則是利用這個(gè)環(huán)境開(kāi)發(fā)應(yīng)用的一個(gè)通用框架。

英特爾框架還被設(shè)計(jì)用于幫助防止基于軟件的攻擊，即使操作系統(tǒng)、驅(qū)動(dòng)程序、BIOS或虛擬機(jī)管理器受到威脅，英特爾框架也會(huì)有所措施。

機(jī)密計(jì)算將支持在用戶(hù)不擁有的大型數(shù)據(jù)集上進(jìn)行分析負(fù)載等工作。它還允許在更接近工作負(fù)載的地方執(zhí)行加密密鑰，從而提高了延遲?！敖裉欤覀冎挥密浖?lái)提供保護(hù)，”“在這種環(huán)境下，我們沒(méi)有硬件保護(hù)措施。”

Johnson表示，“機(jī)密計(jì)算”將通過(guò)硬件和軟件生態(tài)系統(tǒng)保護(hù)數(shù)據(jù)或代碼的處理，該系統(tǒng)由保密計(jì)機(jī)密計(jì)算聯(lián)盟授權(quán)。

Virtium的Phillips指出，易用性會(huì)增強(qiáng)安全性。Push-button記憶加密是其最終的目標(biāo)，“而全面的安全將來(lái)自于額外功能。”

這個(gè)想法不僅是為了加密內(nèi)存，也是為了確保完全的數(shù)據(jù)隔離，以確保一個(gè)安全的環(huán)境。“機(jī)密計(jì)算代表的不僅僅是加密內(nèi)存。”

它還關(guān)乎適應(yīng)一個(gè)異質(zhì)世界。“在使用數(shù)據(jù)時(shí)，你必須提供一層訪(fǎng)問(wèn)控制，并能夠證明你在使用軟件，數(shù)據(jù)在某個(gè)特定區(qū)域
責(zé)編AJX