公共雲能(néng)否成爲機密？

人們常說，生命中唯一确定的兩件事(shì)就是死亡和(hé)稅收。在過去的十年中，數據洩露似乎可以被添加到(dào)這(zhè)個列表中。一個組織真的可以完全安全嗎？不必擔心丢失機密或受監管的數據、公司機密以及（越來(lái)越多的）專有算(suàn)法和(hé)人工(gōng)智能(néng)代碼？ 現(xiàn)實情況是，完全保護數據或其他(tā)數字資産極其困難。内部部署、私有雲和(hé)公共雲數據都容易受到(dào)内部人員和(hé)惡意軟件的攻擊。防禦者隻需在檢測和(hé)關閉攻擊時(shí)失敗一次，就會(huì)導緻災難。人們可以争辯說，每個環境都相對(duì)安全，但(dàn)現(xiàn)實是，沒有什(shén)麽是完全安全的。 根據451項研究，近70%的CISO表示，公共雲不能(néng)被合理(lǐ)信任，無法對(duì)敏感數據和(hé)工(gōng)作(zuò)負載保密。西索斯知(zhī)道(dào)，隻要有足夠的時(shí)間，即使是無意的違約也(yě)是不可能(néng)的。而且這(zhè)種知(zhī)識并不局限于CISO：每個公共雲提供商都了(le)解他(tā)們的漏洞。 雖然CISO繼續爲其最敏感的工(gōng)作(zuò)負載維護私有數據中心，但(dàn)公共雲供應商的應對(duì)措施是部署安全計(jì)算(suàn)技術，旨在将易受攻擊的公共計(jì)算(suàn)資源轉化爲完全機密的資源。 AWS，例如，最近發布的AW-NITRO-EncLaves，一個硬件卡附加到(dào)現(xiàn)有的AWS主機，支持“使用(yòng)中的數據”隔離安全執行環境的基礎。MicrosoftAzure機密計(jì)算(suàn)也(yě)部署了(le)類似的功能(néng)，最近部署了(le)同時(shí)支持IntelSGX和(hé)AMDSEV技術的主機。谷歌宣布了(le)類似的功能(néng)，利用(yòng)AMD的SEV專有安全計(jì)算(suàn)技術。 不幸的是，在實踐中，這(zhè)些(xiē)矽級技術具有可用(yòng)性限制，阻礙了(le)IT組織的廣泛采用(yòng)。這(zhè)主要是因爲他(tā)們隻關注保護未加密的内存和(hé)長期使用(yòng)的數據，而這(zhè)正是目前運行的幾乎所有主機的安全弱點。存儲數據和(hé)網絡通信需要通過單獨的點技術進行補救，這(zhè)些(xiē)技術會(huì)造成複雜(zá)的筒倉和(hé)潛在的保護缺口。 盡管這(zhè)些(xiē)技術非常強大(dà)，但(dàn)對(duì)于擁有數千個遺留和(hé)打包應用(yòng)程序的組織來(lái)說，這(zhè)些(xiē)技術仍然不可行。即使其中一些(xiē)應用(yòng)程序可以修改，也(yě)很(hěn)少有首席信息官願意進行代價高(gāo)昂的修改，将其最重要的應用(yòng)程序鎖定在一個雲供應商和(hé)機密計(jì)算(suàn)技術堆棧上(shàng)。 好(hǎo)消息是，這(zhè)些(xiē)相同的機密計(jì)算(suàn)技術爲一個新的基于軟件的計(jì)算(suàn)結構奠定了(le)基礎，這(zhè)使得IT組織更容易采用(yòng)安全計(jì)算(suàn)，而不管底層技術和(hé)公共雲。它們還提供了(le)一個強大(dà)的平台，在這(zhè)個平台上(shàng)可以構建一類新的安全計(jì)算(suàn)應用(yòng)程序，稱爲機密雲。 什(shén)麽是機密雲？ 機密雲是由一個或多個公共雲提供商組成的安全機密計(jì)算(suàn)環境。機密雲中的應用(yòng)程序、數據和(hé)工(gōng)作(zuò)負載受底層主機中硬件級加密、内存隔離和(hé)其他(tā)服務的組合保護。 與微細分和(hé)主機虛拟化一樣，機密雲中的資源以默認的零信任狀态與所有流程和(hé)用(yòng)戶隔離。但(dàn)機密雲不僅僅隔離網絡通信，它隔離了(le)工(gōng)作(zuò)負載使用(yòng)的整個it環境，包括計(jì)算(suàn)、存儲和(hé)網絡。它支持幾乎任何應用(yòng)程序。 由于機密雲保護是數據不可分割的一部分，因此無論數據到(dào)哪裏，保護都會(huì)延伸到(dào)哪裏。傳統企業邊界是由物理(lǐ)設備定義的，但(dàn)機密雲的邊界是由硬件隔離、加密和(hé)明(míng)确的最低(dī)特權訪問策略的不可分割的組合建立的。歸根結底，工(gōng)作(zuò)負載和(hé)數據的處理(lǐ)完全不受内部人員、惡意參與者和(hé)惡意進程的影響，即使在物理(lǐ)主機出現(xiàn)故障的情況下(xià)，工(gōng)作(zuò)負載的所有方面都是安全的。 機密雲的實際承諾 聽起來(lái)很(hěn)複雜(zá)？在實踐中，不應該這(zhè)樣。 機密雲軟件結構的另一個特點是，它對(duì)用(yòng)戶和(hé)應用(yòng)程序都是透明(míng)的。與服務器虛拟化技術非常相似，機密雲能(néng)夠以與當前完全相同的方式部署現(xiàn)有工(gōng)作(zuò)負載。 數據安全成爲底層硬件/軟件堆棧的固有服務，而不是單個應用(yòng)程序或其他(tā)安全功能(néng)（如存儲/網絡加密和(hé)密鑰管理(lǐ)）的責任。 通過這(zhè)種方式實現(xiàn)，幾乎任何應用(yòng)程序都可以在機密雲中運行，而無需對(duì)開(kāi)發或操作(zuò)進行任何更改。由于保護與數據本身一起流動，因此将機密雲用(yòng)于分布式雲本機應用(yòng)程序有可能(néng)顯著降低(dī)複雜(zá)性和(hé)成本，同時(shí)消除應用(yòng)程序的大(dà)部分攻擊面。 機密的雲彩在地平線上(shàng)嗎？ 機密雲的基礎和(hé)軟件現(xiàn)在可供使用(yòng)。幾乎所有主要的公共雲提供商都在全球部署了(le)某種形式的保密計(jì)算(suàn)硬件，作(zuò)爲其當前主機産品的可點擊選項。構成機密雲的軟件也(yě)很(hěn)容易獲得，通常直接通過相同的雲提供商獲得。 可以快(kuài)速實例化和(hé)測試運行預打包應用(yòng)程序（包括市場領先的數據庫、AI引擎等）的概念驗證環境。這(zhè)些(xiē)組件現(xiàn)在都在這(zhè)裏，形成了(le)一個完整的解決方案，可以在不中斷的情況下(xià)輕松采用(yòng)。 雲的規模和(hé)經濟性是不可否認的。現(xiàn)在，機密雲消除了(le)最後剩下(xià)的安全問題，企業不再需要在安全性和(hé)雲基礎設施的優勢之間進行權衡。最後，一種強大(dà)的新型雲安全可以控制……而且它将秘密地這(zhè)樣做。