近日,全球信息技术研究机构Gartner发布了2019年云安全技术成熟度曲线报告(Gartner, Hype Cycle for Cloud Security, 2019, Jay Heiser, Steve Riley, 23 July 2019),首次将机密计算(confidential computing)列入其中,阿里云因在机密计算领域的诸多实践被列为典型厂商,且是亚太唯一云服务商。
技术成熟度曲线(The Hype Cycle),又称技术循环曲线,指的是企业用来评估新科技的可见度,利用时间轴与市面上的可见度决定要不要采用新科技的一种工具。1995年,Gartner开始每年推出各领域的技术成熟度曲线。
2019年,Gartner首次将机密计算列入其中,并作为云安全技术模型中最初始的一环出现,说明了机密计算在整个云安全链路中起到的根本性作用。阿里云2017年便与英特尔联合发布了基于芯片级的SGX加密计算技术(即机密计算技术),提前布局,用最前沿的技术保障云上客户数据安全。
众所周知,如何保障系统运行时环境可信是一个重要挑战,目前传统的TPM技术仅能完成系统启动过程中的可信度量启动,无法在应用启动后的内存环境提供可信执行环境,对敏感应用及数据进行有效的保护,因此难以胜任对运行时可信的要求。
基于Intel SGX加密计算技术,阿里云为云上客户提供了系统运行时的可信能力,云上开发者可以利用SGX技术提供的可信执行环境,将内存中的关键代码和数据保护起来,即使具备更高特权的系统组件包括BIOS、虚拟化底层、操作系统内核,以及高特权进程也都无法获得关键代码和数据,让客户可以摆脱对云平台的依赖,通过拥有云上的可信执行环境,防止数据被窃取或被篡改。
阿里云是亚太区第一个推出基于SGX((Software Guard Extensions )加密计算的云服务商,并在全球范围内首个将SGX技术商业化,让云上用户都可以以最简单最便捷的方式享受高等级数据安全保护能力。
Gartner在报告中指出,阿里云提供了Fortanix运行时加密方案,通过运行时抽象接口,减少对应用修改的必要,这使得云服务商减少了对单一硬件的具体实现依赖,其他CPU厂商也在选择基于芯片提供类似SGX的可信执行环境。基于显著的技术优势,机密计算开始在大多数企业组织普遍使用。
阿里云在机密计算所做工作不止如此:
- 2017年10月, Intel与阿里云达成技术合作,在云栖大会上联合发布了加密计算技术:以SGX可信执行环境作为基础,保护客户数据安全。
- 2018年4月,阿里云在RSA2018上,宣布支持阿里云加密计算技术的神龙云服务器正式商业化,同时大量客户开始通过加密计算保护敏感数据,其中包括硅谷区块链创业公司Oasis Labs。
- 2018年9月,在云栖大会上,阿里云发布了FPGA加密计算技术,阿里云通过和Intel合作,将加密计算技术从处理器扩展到FPGA设备,通过FPGA加密计算技术让今天主流的机器学习计算模型和数据相关的计算都可以运行在可信环境中,从而帮助客户提升云上数据安全水位。
- 2018年9月,在云栖大会上,阿里云发布了智能网卡加密计算技术,阿里云通过和世界领先的高性能计算、数据中心端到端互连方案提供商Mellanox公司合作,基于智能网卡推出了智能网卡的加密计算技术,从而将系统的可信扩展到网络上,通过智能网卡加密计算技术实现可信网络。
- 2018年10月,阿里云正式宣布通过和Fortanix公司的战略合作,向阿里云的用户提供基于Fortanix产品的密钥管理产品方案。
- 2018年10月,阿里云基于加密计算技术进行数字密钥保护的区块链服务平台正式商业化发布。
- 2019年4月,阿里云和区块链创业公司Oasis Labs宣布战略合作,Oasis Labs的安全区块链智能合约正式上线,相关安全计算自动分配到阿里云加密计算服务器上运行。
- 2019年4月,阿里云作为云厂商代表应邀在RSA2019期间,在英特尔会场讲解了SGX技术在阿里云的应用实践。
- 2019年7月,阿里云联合英特尔发布了针对云原生Golang应用保护的Graphene Golang开源解决方案,旨在帮助阿里云上基于Golang开发的云原生应用可以不经修改得通过SGX技术进行保护,进一步丰富SGX技术生态,让更多的客户可以享受机密计算的安全能力。
- 2019年的8月,阿里云联合浙江大学举办首届SGX应用创意大赛,培养和挖掘更多中国高校和企业中SGX的应用开发者,挖掘新的业务场景,通过产学研相结合的方式,共建SGX安全技术领域的新生态和生力军。点击报名参赛。
附Gartner对机密计算的定义
机密计算,即基于芯片硬件技术和云上虚拟映像和软件工具,从而使得云上用户可以创建一个完全隔离的可信执行环境,也叫做安全区,由于机密计算可以对正在使用/执行中的数据进行加密,因此主机操作系统和云服务提供商都无法识别到这些安全区的敏感信息,从而防止任何第三方对正在执行中的数据进行篡改。由此可以看出,机密计算解决了用户对数据运行时安全问题的担忧。
