內(nèi)存的安全功能并不是新鮮事，但是由大流行性促使的遠程辦公加重了連接性，這意味著保護數(shù)據(jù)更加關鍵，甚至更具挑戰(zhàn)性。在跨5G等通信基礎設施共享數(shù)據(jù)的新興用例中，安全挑戰(zhàn)更加嚴峻。

同時，啟用安全性增加了內(nèi)存設計的復雜性。

甚至在邊緣計算、物聯(lián)網(wǎng)和車聯(lián)網(wǎng)的爆炸式增長之前，內(nèi)存中的安全功能也在激增。電可擦可編程只讀存儲器（EEPROM）被信用卡、SIM卡和無鑰匙進入系統(tǒng)所青睞，基于閃存的固態(tài)硬盤多年來一直包含加密功能。

內(nèi)存技術的進步反映了數(shù)據(jù)爆炸和處理過程要移近數(shù)據(jù)的需求。內(nèi)存和存儲技術是并行的，更多的工作負載在內(nèi)存中被處理。我們將在即將到來的內(nèi)存技術中探討技術的變化曲線。

如今，安全性已經(jīng)嵌入內(nèi)存和網(wǎng)絡設備中，這些設備分布在整個計算系統(tǒng)和網(wǎng)絡環(huán)境中。但是這些基于內(nèi)存的安全能力仍然必須考慮人為錯誤。信息安全專業(yè)人員必須處理用戶打開虛假附件或路由器配置錯誤的后果。

類似地，安全內(nèi)存功能的好處將不會完全實現(xiàn)，除非正確配置，并在一個系統(tǒng)（也包括軟件）之間協(xié)調(diào)一致。但現(xiàn)在看來，雙SoC安全操作中心和片上系統(tǒng)正在融合。

Rambus等公司提供的產(chǎn)品旨在確保每個連接的安全，以應對云計算和邊緣計算中不斷增加的服務器連接帶寬要求。與此同時，為反映每一個系統(tǒng)連接的必然性-黑客篡改閃存設備的內(nèi)容，英飛凌科技公司已經(jīng)擴展了賽普拉斯Semper閃存。

這種篡改可能會影響到許多不同的計算平臺，包括自動駕駛汽車，它本質(zhì)上是一個“在輪子上的服務器”。加上5G網(wǎng)絡增強了工業(yè)、醫(yī)療和物聯(lián)網(wǎng)場景。安全性不僅需要集成，而且還需要在許多不同設備的生命周期內(nèi)進行管理，其中一些設備使用嵌入式內(nèi)存可能會持續(xù)10年。對于黑客來說，內(nèi)存密集型應用仍然是很具吸引力的。

分析人士Thomas Coughlin表示，加密密鑰管理對于確保系統(tǒng)的安全仍然至關重要。隨著非易失性存儲器技術的發(fā)展，嵌入式系統(tǒng)的安全性變得越來越重要。這是因為即使設備斷電，數(shù)據(jù)也會持續(xù)存在。

這里的挑戰(zhàn)不在于增加安全功能。例如，SSD上的數(shù)據(jù)可以加密。“比較大的問題是用戶使用這些功能是否容易，因為通常最薄弱的環(huán)節(jié)就是人。”

智能手機充當了身份驗證，生物識別取代了傳統(tǒng)密碼。這種情況留下了未加密數(shù)據(jù)意外暴露的可能性。Coughlin表示，危險在于執(zhí)行的缺陷或復雜性。“讓安全變得容易是關鍵，而這不僅僅是加密數(shù)據(jù)并將其放入硬件那么簡單。”

SSD和內(nèi)存供應商Virtium的營銷副總裁Scott Phillips表示，加密SSD只能做到這些。而我們需要一種多層的管理方法。雖然像Trusted Computing Group的Opal規(guī)范這樣的存儲規(guī)范可以達到BIOS級別，啟動前可進行身份驗證，但配置和集中管理對于防止黑客入侵至關重要。

“即便是大公司，也無法提供大量全面、復雜的安全保障。”

隨著5G升級，人們正在努力實現(xiàn)數(shù)據(jù)路徑保護，保護數(shù)據(jù)中心，但實現(xiàn)基于硬件的安全仍面臨挑戰(zhàn)。

集成需求

在工業(yè)市場，需要不同系統(tǒng)的整合。Phillips表示， 亞馬遜的AWS和微軟Azure等超大型企業(yè)也在促進數(shù)據(jù)安全。然而，這些防御必須一直實現(xiàn)到最終用戶。

盡管有越來越多的標準和要求，但安全方法的兼容性問題仍然存在。供應商仍試圖將自己定位為安全產(chǎn)品和服務的領導者。

“黑客總是領先一步，他們知道所有小漏洞。這些是他們要檢查的東西。這需要一個非常集中、細致的IT人員或部門來檢查并堵住所有這些漏洞。”

將安全性嵌入存儲設備而不是將其栓在存儲設備上的想法與軟件方法并無不同。“DevSecOps” 是為了安全和隱私應用程序開發(fā)過程的一部分。

但我們知道，使用中的數(shù)據(jù)是數(shù)據(jù)加密領域的一個弱點。加密靜態(tài)數(shù)據(jù)和加密傳輸中的數(shù)據(jù)，這個流程已經(jīng)存在整個科技行業(yè)得到廣泛實施，但企業(yè)在處理信息時沒有任何可靠的方法來保護信息，這就是機密計算聯(lián)盟希望解決的問題。

有一種被稱為“機密計算”的新興框架由此誕生，“機密計算”一詞是由微軟創(chuàng)造，微軟也是該聯(lián)盟的主要支持者和創(chuàng)始成員之一，其他成員還包括阿里巴巴、Arm、百度、谷歌云、IBM、英特爾、紅帽和騰訊。旨在通過在基于硬件的可信執(zhí)行環(huán)境（TEE）中隔離計算來保護使用中的數(shù)據(jù)。在處理數(shù)據(jù)時，數(shù)據(jù)在內(nèi)存中加密，在CPU之外的其他地方加密。

這些科技公司寄希望于一個名為Open Enclave Software Development Kit的開源框架，該框架最初是由微軟開發(fā)的，用于構建可以運行在多種類型計算機體系結構上的所謂“可信執(zhí)行環(huán)境應用”。

英特爾SGX允許創(chuàng)建受信任的執(zhí)行環(huán)境，這是主處理器的一個安全區(qū)域，它可以保證加載在其中的代碼和數(shù)據(jù)，并在保密性和完整性方面受到保護。

機密計算已被軟件和硬件廠商推廣，包括谷歌，它最近宣布了將其應用于容器工作負載的功能，英特爾還通過其Intel software Guard擴展為微軟Azure等云提供商提供一個可信的空間（TEE）。通俗的講就是把你的數(shù)據(jù)單獨放在一個安全的環(huán)境里執(zhí)行操作，普通操作系統(tǒng)和應用程序無法直接訪問 TEE 的硬件和軟件資源。

機密計算需要共享安全責任。英特爾產(chǎn)品保證和安全架構高級首席工程師Simon Johnson表示，人仍然是最薄弱的環(huán)節(jié)。

英特爾支持開發(fā)者執(zhí)行代碼來保護數(shù)據(jù)。與此同時，機密計算運動源于企業(yè)要求處理數(shù)據(jù)而不考慮來源，包括敏感的醫(yī)療保健信息、財務記錄和知識產(chǎn)權。

平臺提供商應該不能看到數(shù)據(jù)。“讓盡可能多的人遠離你的東西。”

英特爾SGX包括基于硬件的內(nèi)存加密，隔離特定的應用程序代碼和內(nèi)存中的數(shù)據(jù)。它允許用戶級代碼分配私有內(nèi)存“enclave”，目的是在與在更高特權級別上運行的進程隔離。

據(jù)悉Open Enclave仍處于開發(fā)階段，但由于可信執(zhí)行環(huán)境已經(jīng)被普遍采用，因此相信進展會相當快。可信執(zhí)行環(huán)境指的是計算機芯片上的一個安全區(qū)域，用于加密芯片上加載的數(shù)據(jù)和代碼，使處理器的其他部分無法訪問這些數(shù)據(jù)。換句話說，可信執(zhí)行環(huán)境提供了一個隔離的執(zhí)行環(huán)境來保護正在使用中的數(shù)據(jù)，Open Enclave SDK則是利用這個環(huán)境開發(fā)應用的一個通用框架。

英特爾框架還被設計用于幫助防止基于軟件的攻擊，即使操作系統(tǒng)、驅(qū)動程序、BIOS或虛擬機管理器受到威脅，英特爾框架也會有所措施。

機密計算將支持在用戶不擁有的大型數(shù)據(jù)集上進行分析負載等工作。它還允許在更接近工作負載的地方執(zhí)行加密密鑰，從而提高了延遲。“今天，我們只用軟件來提供保護，”“在這種環(huán)境下，我們沒有硬件保護措施。”

Johnson表示，“機密計算”將通過硬件和軟件生態(tài)系統(tǒng)保護數(shù)據(jù)或代碼的處理，該系統(tǒng)由保密計機密計算聯(lián)盟授權。

Virtium的Phillips指出，易用性會增強安全性。Push-button記憶加密是其最終的目標，“而全面的安全將來自于額外功能。”

這個想法不僅是為了加密內(nèi)存，也是為了確保完全的數(shù)據(jù)隔離，以確保一個安全的環(huán)境。“機密計算代表的不僅僅是加密內(nèi)存。”

它還關乎適應一個異質(zhì)世界。“在使用數(shù)據(jù)時，你必須提供一層訪問控制，并能夠證明你在使用軟件，數(shù)據(jù)在某個特定區(qū)域
責編AJX