默认情况下,站点的安全性不够。
在过去的几年里,寻找一个“http:/……”的第一个网站变得越来越困难,因为业界终于意识到网络安全“是一件事”,也因为在客户端和服务器之间建立和使用HTTPS连接更加容易。在云计算、边缘计算、物联网、区块链、人工智能、机器学习等领域,类似的变化可能以不同的方式发生。长期以来,我们都知道对网络中存储的静态数据和传输的数据进行加密,但在使用和处理数据时,对数据进行加密既困难又昂贵。可信计算(使用可信执行环境tees等硬件功能提供数据和算法保护)可以保护主机系统或易受攻击环境中的数据。
关于TEEs,当然还有我和Nathaniel McCallum共同创建的Enarx项目,Enarx使用tees提供独立于平台和语言的部署平台,以便您可以在不信任的主机上安全地部署敏感应用程序或敏感组件(如微服务)。当然,enarx是完全开源的(顺便说一下,我们使用Apache 2.0许可证)。能够在不信任的主机上运行工作负载,这是可信计算的承诺,扩展了使用静态敏感数据和传输中的数据的常规做法:
存储:您希望加密静态数据,因为您不完全信任您的基础结构。
网络:您需要加密正在传输的数据,因为您不完全信任您的基础结构。
计算:你想加密你正在使用的数据,因为你不完全信任你的基础设施。
关于信任,我有很多话要说,上面的“完整”一词非常重要(我在重读我写的这篇文章时添加了这个新词)。无论是哪种情况,您都必须在一定程度上信任您的基础设施,无论它是传递您的数据包还是存储您的数据块。例如,对于一个计算基础设施,你必须信任CPU和与之相关的固件,因为如果你不信任它们,你就不能真正地进行计算(现在有一些同态加密技术,这些技术开始提供一些可能性,但它们仍然是有限的,这些技术还不够成熟。
考虑到发现的一些CPU安全问题,是否完全信任CPU有时会自然地引起问题,以及它们在对所在主机的物理攻击中是否具有完全的安全性。
这两个问题的答案是“不”,但考虑到大规模可用性和普遍推广的成本,这是我们目前拥有的更好的技术。为了解决第二个问题,没有人假装这项技术(或任何其他技术)是完全安全的:我们需要做的是考虑我们的威胁模型,并确定在这种情况下,tees是否为我们的特殊需要提供足够的安全保护。关于第一个问题,enarx的模型是决定在部署时是否信任特定的CPU组。例如,如果发现供应商q的r代芯片有缺陷,可以简单地说“我拒绝将我的工作内容部署到q的r代芯片上,但它仍然可以部署到q的S型、T型和U型芯片以及任何p、m和n供应商的任何芯片上。”
我认为这里发生了三个变化,引起了人们对机密计算的兴趣和采用。
硬件可用性:仅在过去6到12个月内,硬件支持T形三通已变得广泛可用。目前,市场上的主要例子是英特尔的SGX和AMD的sev。我们希望在未来看到其他支持tee的硬件示例。
行业准备就绪:正如云端越来越被接受为应用程序部署的模式一样,监管机构和立法机构也在提高对组织保护其管理的数据的要求。各组织正开始寻求在不受信任的主机上运行敏感程序(或处理敏感数据的应用程序)的方法,或者在不能完全信任敏感数据的主机上运行。这并不奇怪:如果芯片制造商看不到这项技术的市场,他们不会在这方面投入太多。Linux基金会的秘密计算联盟(CCC)的基础是业界感兴趣的是找到一个使用加密计算和鼓励开源项目使用这些技术的通用模型。(红帽启动的enarx是一个CCC项目。)
开源:与区块链一样,秘密计算是使用开源的绝对智能技术之一。如果要运行敏感程序,则需要信任为您运行的程序。不仅是CPU和固件,还包括在tee中执行工作负载的框架。可以说,“我不信任主机和它上面的软件堆栈,所以我要使用tee”,但是如果你不了解tee软件环境,你要用另一个软件不透明度替换一个软件不透明度。Tee的开源支持将允许您或社区(事实上,您和社区)检查和审计您运行的程序,而专有软件不能。这就是为什么CCC是Linux基金会的一部分,它在开放开发模型上工作,并且鼓励TEE相关的软件项目加入并且成为开源项目,如果他们还没有的话。
我相信在过去的15到20年里,硬件可用性、行业就绪性和开源已经成为技术变革的驱动力。区块链、人工智能、云计算、大规模计算、网络计算、大数据和互联网商务都是这三点同时发挥作用的例子,它们给行业带来了巨大的变化。
总的来说,安全是我们几十年来听到的一个承诺,但仍未实现。老实说,我不确定将来会实现。然而,随着新技术的出现,特定用例的安全性变得越来越实用和普遍,在业界也越来越受到期待。所以,看起来秘密计算已经准备好成为下一个大变革了——我亲爱的读者们,你们可以加入到这场革命中来(毕竟,它是开源的)。