2018年4月16日,以“Now Matters”为主题的RSAC2018在美国旧金山开启。作为全球最负盛名的信息安全行业大会,今年的RSA Conference带来了550场业界专家来分享的课程,也吸引了650多家参展商,官方统计将近5万人参会。
在2018RSAC上,阿里云除了携3款全新安全产品和西雅图的云安全实验室亮相之外,还宣布了加密计算进一步商业化落地的消息。
作为一名长期关注加密计算的技术人,一项技术能真正在业务、商业场景中投入使用,保护客户的数据,让云上更安全,是我非常愿意去推动的事情。
更让人欣慰的是,在本届RSAC中,数据安全、隐私保护、加密等关键词,影响力比前几年上了一个台阶。这也意味着,安全和信任感在越来越多的业务中(无论对企业还是对个人),变得重要,安全的概念界限,也变得宽了。
接下来,想聊聊围绕数据安全和加密计算的一些思考。
在RSAC的第二天,4月17号,参加了几场主题演讲。其中包括了RSA总裁Rohit Ghai 和微软总裁Brad Smith的演讲。他们都分别表达了安全行业需要一起联手来对抗攻击的想法。
其后,观看了一些基于Intel® SGX开发应用的厂商,从中看到了加密计算的生态力量。 其核心理念,是要将可信执行环境技术融入到处理器中,最大化的复用处理器的计算性能,并和处理器已有的生态很好的融合 — 解决了近多年来,TPM等相关技术无法很好解决的安全计算的融合。
结合云计算的趋势来说。我认为,云的基础是数据和计算,云安全的基础是信任。对数据的加密能力,和安全的数据处理环境,是信任的最好映证。这也是我看好加密计算和其它加密技术进展的原因。
针对数据存储保护,今天可以通过数据加密存储进行保护,例如阿里云的对象存储和块存储系统,就提供了相应的Features。而透明加密的功能在阿里云的RDS中也有提供。
针对数据传输,TLS/SSL已经非常普及,不管是阿里云还是其它主流云厂商,都已经提供了相关能力。
而针对数据使用时的保护,今天在行业中却还没有系统解决方案的。目前,大量运行时数据计算环境保护还是基于混淆技术(Obfuscation,一种对软件进行保护的一种有力手段)。
但是,混淆和安全是不同的思路。混淆在工作量的角度上,可以让攻击者知难而退,但是却不能在技术原理层面进行保障,并且针对特定的可以承受高强度工作量的攻击者,这些防御是无力的。
在可信执行环境层面以及算法层面,目前已经出现了解决这个问题的思路。加密计算就是其中之一。
阿里云加密计算给用户提供了基于硬件的数据保护能力。2017年10月14日,在杭州.云栖大会上, Intel与阿里云达成技术合作。联合发布了加密计算技术:以Intel® SGX (IntelSoftware Guard Extensions)可信执行环境作为基础,保护内部数据,客户数据。
在过去的几个月里,我们邀请用户参与了神龙SGX机型的测试,其中包括了清华大学,加州伯克利分校等重要学术研究机构,也包括了很多初创企业,以及包括蚂蚁金服在内的内部应用。
今天在RSA 2018,很高兴能见证这项技术对全球商用:基于阿里云ECS弹性裸金属服务器(ECS Bare Metal Instance),加密计算(Encrypted Computing)技术将于4月底正式上线。全球企业可通过芯片级数据加密,保护数据安全。
VeriCloud CTO Rui Wang在RSA分享和阿里云的合作
除了在演讲、展会中的体现之外,数据安全、隐私保护、合规热点,也融入了 Innovation Sandbox中。Innovation Sandbox是每年RSA最受关注的环节,是安全领域中的明星独角兽评选,每年的决赛选手都能获得不错的融资。
决赛规则很直白,最后入选的10支队伍,每个团队的CEO都会上台进行3分钟的演讲,之后裁判委员们对逐个对演讲者提问。在所有演讲和问答环节结束后,他们进行评选。
让我们看一下今年的裁判们:
其中Paul Kocher还是今年史无前例的处理器漏洞,Spectre和Meltdown的发现者之一。RSA其后的技术分享环节, 他还做了两场标题为” Spectre Attacks: Exploiting Speculative Execution”的分享。
也科普一下RSA Sandbox创新沙盒的评判标准:
A、 解决的什么安全问题,谁是最终的客户;
B、 产品如何获得市场的?(Go-To-Market);
C、 团队和领导人员;
D、 解决这个问题的知识产权的原创性和深度;
E、 市场验证效果如何(产品使用的程度是测试版还是完整版);
在今年,最后入围的10家如下:
最后经过激烈的讨论,最终胜出的是BigID。
BigID就是一家以色列从事隐私保护的公司,目前主要针对马上就要来临的GDPR等相关法律法规,通过他们的基于机器学习技术的系统,帮助企业进行数据的保护及管理。可以看到GDPR等合规开始对安全行业产生实际的影响,相关的数据安全公司也将开始成为热点。
第二名的获得者,Fortanix,就是一家基于Intel® SGX应用的数据安全厂商。他们目前提供自防御的密钥管理系统,还和Equinix合作,对其SmartKey产品提供了底层技术。
通过对Sandbox Contest地最终胜出者的理解,我们可以看到,数据安全现在是非常紧迫的问题。
随着越来越多的数据安全事件发生,同时GDPR等法律法规日益严格,对数据安全的合规需求巨大,同时如何通过底层安全技术对数据安全进行更有效的保护也成为关注热点。这次BigID和Fortanix的胜出,反映了这个趋势在加强。
最后,值得一提的是,RSA除了关注技术、行业之外,也更多地往涉及责任,和平这样的泛安全命题。
比如RSA这次的主会场演讲,邀请了更多的公众演说家,强化了第三方、非盈利组织的力量。
会议最后的颁奖环节中, 宣布了四个RSA杰出奖项:信息安全奖给了Michael Assante;公共政策奖给了Admiral Michael Rogers;数学奖给了Ran Canettl教授和Rafall Ostrovsky教授;人道主义服务奖给了Tim Jenkin。
正如RSA的会议名字一样,它致敬了“安全”的主题,也致敬了人类的创造力和突破。同时,它在探索一个行业对世界的贡献和责任,这也是每一个技术人,需要去思考的方向。
注:RSA是一种非对称加密演算法。1977年,由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出。当时他们三人都在麻省理工学院工作,RSA就是他们三人姓氏开头字母拼在一起组成的。
