ご存知のとおり、データ セキュリティの 3 つの柱は、保存中のデータ、転送中のデータ、使用中のデータの保護です。その中でも、静的暗号化と転送中のデータ暗号化は誰もがよく知っています。 しかし、企業がビジネスをクラウドに移行すると、使用中のデータをどのように保護するか、つまり機密データを保護しながら非公開に保つかが、直面する最大の課題の 1 つになります。 アプリケーションは計算を実行するためにプレーンテキスト データ (暗号化されていない、またはその他の方法で保護されていないデータ) を必要とするため、使用中のデータの保護は特に困難です。つまり、マルウェアがメモリの内容をダンプして情報を盗む可能性があるということです。メモリ内のデータが侵害された場合、サーバーのハードドライブ上のデータを暗号化することはそれほど重要ではありません。 このため、コンフィデンシャル コンピューティングの概念が生まれました。 2019 年、コンフィデンシャル コンピューティングは、ガートナーの「2019 年クラウド セキュリティ テクノロジー成熟度曲線レポート」に初めて含まれました。 2020 年、機密コンピューティングは、ガートナーのクラウド セキュリティ成熟度サイクルにおける 33 のテクノロジーの 1 つであり続けます。 機密コンピューティングの応用シナリオ機密コンピューティングとは、ハードウェア ベースのテクノロジを使用して、データ、特定の機能、またはアプリケーション全体をオペレーティング システム、ハイパーバイザーまたは仮想マシン マネージャー、およびその他の特権プロセスから分離することです。データは信頼できる実行環境 (TEE) に保存され、デバッガーを使用しても、データもそのデータに対して実行された操作も外部から表示することはできません。 TEE は、承認されたコードのみがデータにアクセスできるようにします。コードが変更または改ざんされた場合、TEE は操作を拒否します。 機密コンピューティングは、機密コードとデータを保護することを目的としています。ブロックチェーン、キー管理、金融、AI、マルチパーティコンピューティング、データリース、エッジコンピューティングなど、多くのアプリケーションシナリオにおける「信頼」の問題を解決できます。例:
さらに、機密コンピューティングは、セキュリティに関連しない利点ももたらします。たとえば、画像処理アプリケーションは、ビデオ ストリームをクラウドに送信する代わりに TEE にファイルを保存できるため、帯域幅を節約し、待ち時間を削減できます。アプリケーションは、このようなタスクをプロセッサ レベルで分割することもできます。メイン CPU が処理の大部分を実行しますが、機密性の高い計算はネットワーク カード上の TEE に依存します。 機密コンピューティングは理論的には便利ですが、すぐに利用できるわけではありません。ガートナーは、これが広く使用されるようになるまでには5年から10年かかると見積もっています。 ハイテク大手が機密コンピューティングに参入将来を見据えたセキュリティ技術として、世界的なテクノロジー大手がすでに市場に参入し、機密コンピューティング技術を精力的に研究し、推進しています。 マイクロソフトアジュール 2017 年、Microsoft は Azure クラウド プラットフォームの新機能として「Confidential Computing」を発表しました。この機能により、Azure 上で実行されるアプリケーションは、保存中、転送中、メモリ内のデータを暗号化したままにすることができます。 実装の点では、Microsoft のコンフィデンシャル コンピューティングには 2 つのモードがあります。1 つは仮想マシンに基づくもので、もう 1 つは Intel の Skylake-SP Xeon プロセッサの SGX (「ソフトウェア ガード拡張機能」) 機能を使用するものです。 Windows 10 および Windows Server 2016 で導入された Hyper-V の仮想セーフ モード (VSM) 機能を使用する仮想マシン モード。 VSM を使用すると、アプリケーションのほとんどの部分が通常のオペレーティング システムを搭載した通常の仮想マシンで実行されます。保護された TEE 部分は、基本的なスタブ オペレーティング システム (通常の VM と通信するのに十分なもの) と、機密データの処理に必要なアプリケーション コードの部分のみを含む別の仮想マシンで実行されます。 アプリケーションが侵害され、攻撃者がプライマリ VM にアクセスできたとしても、Hyper-V は VM を相互に分離しているため、VSM TEE 内のデータにはアクセスできません。攻撃者がこの分離を突破するには、Hyper-V 自体を侵害する必要があります。 SGX モードでは、プロセッサ機能を使用して、仮想マシンを必要とせずに通常のプロセスで TEE を削減します。プロセッサ自体がメモリからのデータを暗号化および復号化するため、データはプロセッサ自体内でのみ復号化されます。 このモデルでは、Hyper-V のセキュリティはそれほど重要ではありません。アプリケーションが信頼する必要があるのは、プロセッサとその SGX の実装だけです。 SGX を使用すると、TEE 内のデータを誰も見ることができません。 アリババクラウド 中国では、Alibaba Cloud がアジア太平洋地域で初めて SGX (Software Guard Extensions) ベースの暗号化コンピューティングを導入したクラウド サービス プロバイダーです。 2017年、Alibaba CloudとIntelは、クラウド上の顧客データのセキュリティを確保するために、チップレベルのSGX暗号化コンピューティングテクノロジーを共同でリリースしました。 Alibaba Cloud は、Intel SGX 暗号化コンピューティング テクノロジーをベースとして、システム実行時に信頼できる機能をクラウド顧客に提供します。クラウド開発者は、SGX テクノロジーによって提供される信頼できる実行環境を使用して、メモリ内の重要なコードとデータを保護できます。 BIOS、仮想化インフラストラクチャ、オペレーティング システム カーネル、高権限プロセスなどの、より高い権限を持つシステム コンポーネントであっても、重要なコードやデータを取得することはできません。これにより、お客様はクラウド プラットフォームへの依存から脱却し、クラウド上に信頼できる実行環境を用意することで、データの盗難や改ざんを防ぐことができます。 2018年、Alibaba CloudはSGX技術をベースにしたブロックチェーンサービスプラットフォームを立ち上げました。 2019年のYunqiカンファレンスでは、Alibaba Cloud IntelligenceはAlibaba Cloud Database Teamと共同で、完全に暗号化されたデータベース製品もリリースしました。 Googleクラウド 今年の Google Cloud Next '20 カンファレンスで、Google Cloud は機密コンピューティングに基づくセキュリティ製品「Confidential VMs」も発表しました。この新しいタイプの仮想マシンは、Google の暗号化コンピューティングを活用して、保存時とメモリ内の両方でデータの機密性を保つことができます。 Google Cloud によると、機密仮想マシンは第 2 世代 AMD EPYC プロセッサ上に構築されており、顧客が機密コンピューティングを完了できるように、より低いコンピューティング能力を使用してデータを暗号化します。お客様は、Google Cloud 上でワークロードを暗号化された方法で実行できます。 Google Cloud は、機密仮想マシンのセキュリティ レベルは非常に高く、新たなコンピューティング ソリューションを実現できると述べています。これらの機密 VM は、暗号化や N2D ベースの高性能 VM に使用される実際の VM と同じです。これらはすべて、AMD EPYC Secure Encrypted Virtualization (SEV) をベースにしており、AMD セキュア プロセッサを使用して VM メモリをロックするキーを生成することで、パフォーマンスを維持しながら VM メモリを暗号化できるため、企業データへのアクセスが制限されるだけでなく、ホスト上で実行されている VM へのアクセスも制限されます。 さらに、Confidential VMs は Google のセキュリティ強化された VM と組み合わせられ、顧客に追加の機密イメージを提供します。これにより、顧客がワークロードを Google Cloud に移行する動機が高まります。 機密コンピューティングコンソーシアム CCC 2019 年 8 月、機密コンピューティングの標準を定義し、オープンソース ツールの開発と採用をサポートするために、Linux Foundation の下で Confidential Computing Consortium (CCC) が設立されました。メンバーには、Alibaba、AMD、Arm、Facebook、Fortanix、Google、Huawei、IBM、Intel、Microsoft、Oracle、Swisscom、Tencent、VMwareなどの大企業が含まれています。 現在、Confidential Computing Consortium は、Intel GX SDK for Linux、Microsoft の Open Enclave SDK、Red Hat の Enarx など、いくつかのオープンソース プロジェクトをサポートしています。 ただし、すべてのプロジェクトが機密コンピューティングと見なされるためには、アライアンスによって認定される必要はありません。たとえば、Google の Asylo は Enarx と非常によく似ており、Microsoft Azure のコンフィデンシャル コンピューティング サービスは Intel SGX と Microsoft の仮想セキュリティ モードの両方をサポートしており、どちらもコンフィデンシャル コンピューティングの範囲に含めることができます。 機密コンピューティングの出現により、クラウド コンピューティング、ブロックチェーンなどのサービスを使用する企業が増える可能性がありますが、機密コンピューティングはアプリケーションの面ではまだ初期段階にあることに注意する必要があります。たとえば、コンフィデンシャル コンピューティングが最下層で依存する TEE テクノロジは、追加の機能制限と互換性の問題をもたらし、コンフィデンシャル コンピューティングの開発者はアプリケーション開発の困難さなどの障害に直面します。 機密コンピューティング技術が実際のアプリケーション シナリオでどのように実装され、実際にデータ セキュリティを効果的に保護できるかどうかについては、今後さらに観察される必要があります。 |
<<: IDC:中国の金融クラウド市場規模は2020年上半期に19億1000万米ドルに達した
編集者注: 上記のデータが、4 年間メンテナンスされていない Web サイトから取得されたものだと信...
私は多くの安価な VPS を使用しましたが、その中にはかつて「最も安い VPS」と考えられていたもの...
Baidu Statistics のリリースに伴い、ますます多くのウェブマスターの友人が自分の We...
HostGa は「言葉では言い表せない」最新のプロモーション情報をリリースしました: COM/.NE...
vinahost を紹介します。ベトナムのデータセンターにはベトナムの VPS とベトナムのサーバー...
SEO では、タイトルの最適化が中心的な問題です。タイトルでキーワードを繰り返すとランキングが向上し...
から運営されている Host4fun は、インド企業である QuadSpark IT Solutio...
1. Qvodの社長である王欣は1か月近く行方不明になっており、妻は浴室に隠れたまま姿を現していない...
電子メール マーケティングは、その幅広い範囲と大規模なオーディエンスにより、今日でも多くの企業で使用...
4月、長江南部は雨が多かったが、同城網の呉志祥CEOの気分は落ち込んでいなかった。Ctrip.com...
急速に変化する運用環境において、データの移動と保存は、ほぼすべての業界のあらゆる規模の企業にとって非...
6月18日、天猫は今年の618ショッピングフェスティバル期間中、淘宝天猫での注文ごとの二酸化炭素排出...
今日、「SuningのRedbaby買収は、中小垂直電子商取引企業の課題解決のサンプルである」という...
8月13日、中国インターネット大会が予定通り開催され、捜狐創業者の張朝陽氏と360創業者の周紅一氏に...
外部リンクがSEO最適化に与える影響の詳細な分析ご存知のとおり、ウェブサイトのランキングに影響を与え...