企业对云服务的需求如今呈现爆炸式增长,使得对高度安全的云平台的需求变得更加迫切。许多处理敏感数据的企业都对将业务迁移到云平台感到担忧,这并非没有理由。
一段时间以来,公有云实际上可以比企业的内部部署设施提供更多的保护。云计算供应商的专家团队可以确保云计算服务器保持最佳的安全状态,以抵御外部威胁。
但是,实现这种安全水平需要付出一定的代价。由于业务运行在云平台,将导致企业面临数据泄露的风险,并使合规性工作变得更加复杂。
芯片、软件和云计算基础设施中数据安全技术的最新发展正在改变这一现状。通过有效地锁定内部工作人员或外部攻击者的数据访问权限,新的安全功能将公有云转变为一种受信任的数据安全环境——机密云。
这样就消除了即使是最敏感的数据和应用程序也无法实施全面迁移的最后一个安全障碍。利用这种具有安全性的机密云,企业现在可以在任何地方独家拥有自己的数据、工作负载和应用程序。
现在,即使是全球一些最注重安全性的企业,也都将机密云视为存储、处理和管理数据的最安全选择。机密云的吸引力是基于专有数据控制和将数据风险降低到硬件级别的承诺。
什么是机密云?
在过去的一年中,关于机密计算的讨论很多,包括安全飞地或可信执行环境(TEE)。现在,这些服务器可在基于Amazon Nitro Enclaves、Intel SGX(软件保护扩展)和AMD SEV(安全加密虚拟化)芯片构建的服务器中使用。
机密云利用这些技术来建立安全且不可穿透的加密边界,该边界从信任的硬件进行无缝扩展,以保护使用中的、静止的和运行中的数据。
传统的分层安全方法在数据和不良行为者之间设置障碍,或者为存储或通信提供独立的加密,机密云则提供了与数据本身不可分离的强大数据保护。反过来,这消除了对传统外围安全层的需求,同时使数据所有者可以在存储、传输或使用数据的任何位置进行控制。
由此产生的机密云在概念上类似于网络细分和资源虚拟化。但是,机密云不仅可以隔离和控制网络通信,而且将数据加密和资源隔离扩展到IT、计算、存储和通信的所有基本元素。
机密云汇集了在与云计算运营内部人员、恶意软件或潜在网络攻击者隔离的可信执行环境中机密运行任何工作负载所需的一切。
这也意味着即使服务器受到物理攻击,其工作负载仍然是安全的。即使网络攻击者具有对服务器的root访问权限,也可以有效地阻止其查看数据或访问数据和应用程序,从而提供传统的微分段技术无法提供的安全级别。
比内部部署设施更加安全
一个有力的论据是,信誉良好的主要云提供商提供了保护绝大多数内部IT基础设施所需的资源和重点。但数据开放云计算供应商给企业带来了数据泄露的更大风险,以及无法在首席信息安全官的完全控制下锁定受到信任的环境。
数据泄露已经体现在迄今为止广为人知的一些违规事件中,例如CapitalOne公司的大量数据被AWS公司一名员工泄露,并成为从云平台中泄露数据的一个典型事例。
采用机密云消除了云计算内部人员泄露数据的可能性,从而关闭了数据攻击面,否则这些数据将暴露给云计算供应商。数据控件可以扩展到可能泄露数据的任何地方,包括存储、网络和多个云平台中。
采用自己的机密云
OEM软件开发商和SaaS供应商已经正在构建机密云,以保护其应用程序。Redis公司最近发布了其高性能软件的安全版本,该版本可在多个安全计算环境上运行,从而可靠地创建了世界上最安全的商业数据库。
Azure机密计算部门已与机密云的供应商合作,以在不对基础应用程序进行任何修改的情况下,在现有基础设施上安全地构建和运行任何工作负载。
利用机密计算可以运行以前需要修改代码才能运行的应用程序。这是因为最初的机密计算技术侧重于保护内存。必须修改应用程序才能在受保护的内存段中运行选定的敏感代码。对大多数企业来说,重写和重新编译应用程序的需求对大多数企业来说都是一项繁重的工作,甚至在原有或现成的软件包中都是不可能的。
全新的“提升与转移”实施路径使企业能够在受保护的机密云中创建、测试和部署敏感数据工作负载,而无需修改或重新编译应用程序。如今,几乎所有云计算提供商(包括AWS、微软Azure和谷歌云)都提供机密的云计算基础设施。
机密云软件允许应用程序甚至整个环境在机密云平台中工作,而无需进行任何修改。附加的软件抽象和虚拟化层的优势在于,使机密云本身与英特尔、AMD、亚马逊和ARM等公司开发的众多专有安全区域技术和版本无关。
新一代的安全厂商已经简化了为潜在的公有云客户实施私有测试和演示环境的过程,这加快了私有应用程序飞地化和生成完整的机密云基础设施的进程。
数据安全性是将应用程序迁移到云平台和整合IT资源的最后一道障碍。除了最敏感的应用程序和数据之外,在提供应对云安全漏洞的解决方案方面迈出了重要的一步。消除数据漏洞为企业提供了广泛的机会,使他们可以简单地部署基于机密云构建的更加安全的托管IT基础设施。