当今的科技行业需要始终领先于攻击者。机密计算是该对话的一部分，但与边缘一样，对于它的实际含义存在一些混淆。

AWS 将其定义为将内部（通常是客户数据）与外部（通常是云提供商）分开的特定硬件和固件。它包括分层零信任的元素，允许与云提供商合作的企业根据其安全需求进一步划分数据。它可以保护使用中的数据，并在协作和数据所有权之间找到平衡。

因为我们谈论的是当代技术，所以让我们使用这个定义：机密计算是一项旨在创建更安全的基于硬件的执行环境的举措。它通常用于保护跨多个环境使用的数据。

保护静止或传输中的数据通常被认为比保护使用中的数据更容易。根据IEEE的说法，问题是悖论。必须公开数据才能进行处理，那么如何阻止恶意软件在“使用中”阶段潜入？答案是一个可信的执行环境，在某些硬件上提供实时加密，只有经过批准的代码才能访问。

机密计算的历史

2020 年，机密计算联盟开始在其技术咨询委员会中制定标准。Meta、谷歌、华为、IBM、微软和腾讯等公司也参与进来。

当时的想法是，通过隔离受保护的数据，机密计算可以允许不同的企业共享数据集而不共享完全访问权限，或者它可以减少能源需求，因为可以存储像视频这样的高带宽或高延迟数据在 TEE 中而不是在本地。

TEE是 CPU 中的一个安全部分，由仅由授权应用程序代码访问的嵌入式加密密钥分隔。在计算和解密期间，即使是操作系统或管理程序，数据也是不可见的。除了保护专有业务逻辑和应用程序外，它还是分析功能或 AI/ML 算法的可能解决方案。

提供机密计算的云提供商的目标之一是让他们向客户保证，他们可以更轻松地了解云提供商本身看到的专有信息。

机密计算如何工作？

机密计算的工作方式与编码它们的公司一样多，但请回想上面提到的定义。Google Cloud 使用具有安全加密虚拟化扩展的机密虚拟机，由第三代 AMD EPYC CPU 和云计算云进程支持。数据在内存中使用由处理器生成和管理的特定于节点的专用密钥进行加密，这些安全密钥在节点创建期间在硬件中生成。从那里，他们永远不会离开那个硬件。

今天，IBM 声称他们的第四代机密计算产品，从 2018 年的 IBM Cloud 的 Hyper Protect Services 和 Data Shield 开始。在 Hyper Protect 服务中引以为豪的是 FIPS 140-2 Level 4 认证的云硬件安全模块. 这两种产品都符合 HIPAA、GDPR、ISO 27K 等法规。

IBM 还提供 HPC Cluster，这是 IBM 云的一部分，使用“自带加密操作系统”和“保留自己的密钥”功能对客户的集群进行保密。IBM 的 Secure Execution for Linux 允许客户在 TEE 中托管大量 Linux 工作负载。

AWS 的 Nitro 系统巩固了他们的弹性云计算服务，这是一种基础设施按需服务，本质上需要在亚马逊和使用这些服务的客户之间设置一些墙和门。他们以各种方式创造这些墙壁和门。一种是 Nitro System，它有一个专有的安全芯片，可以对系统进行加密测量和验证。

英特尔的 Software Guard Extensions 有助于该公司基于硬件的安全性。2021年，他们专注于为医疗、金融和政府提供量身定制的TEE服务。

Microsoft Azure 还提供机密虚拟机以及机密 Kubernetes 容器。他们的 TEE 构成了 Azure 机密分类账的主干，这是一个使用区块链验证的“防篡改、非结构化”数据池。微软表示，篡改将显着地出现在他们受信任的计算基础上。硬件信任根为机密层内的每笔交易提供数字签名。基于证书的授权还确保云提供商无法查看托管在那里的数据。

机密计算的下一步发展是什么？

机密计算与区块链等其他云服务和安全方法有很多交叉。这是一项革命性的举措，还是将现有的当前一代安全考虑汇总成一个相对容易在预算中划线的术语？

虽然让上级更容易了解您在 IT 预算中所做的事情并没有什么问题，但也有许多黑客都在关注 TEE。

机密计算联盟也在不断壮大。Everest Group 和 Consortium的一项市场研究预测，到 2021 年，机密计算行业将增长到 2026 年的 540 亿美元。

虽然机密计算的采用处于相对初期的阶段，但我们的研究揭示了不仅对使用它的企业而且对支持它的技术和服务提供商而言的增长潜力。