云計算的下一件大事是什么?
企業對云服務的需求如今呈現爆炸式增長,使得對高度安全的云平臺的需求變得更加迫切。許多處理敏感數據的企業都對將業務遷移到云平臺感到擔憂,這并非沒有理由。
一段時間以來,公有云實際上可以比企業的內部部署設施提供更多的保護。云計算供應商的專家團隊可以確保云計算服務器保持最佳的安全狀態,以抵御外部威脅。
但是,實現這種安全水平需要付出一定的代價。由于業務運行在云平臺,將導致企業面臨數據泄露的風險,并使合規性工作變得更加復雜。
芯片、軟件和云計算基礎設施中數據安全技術的最新發展正在改變這一現狀。通過有效地鎖定內部工作人員或外部攻擊者的數據訪問權限,新的安全功能將公有云轉變為一種受信任的數據安全環境——機密云。
這樣就消除了即使是最敏感的數據和應用程序也無法實施全面遷移的最后一個安全障礙。利用這種具有安全性的機密云,企業現在可以在任何地方獨家擁有自己的數據、工作負載和應用程序。
現在,即使是全球一些最注重安全性的企業,也都將機密云視為存儲、處理和管理數據的最安全選擇。機密云的吸引力是基于專有數據控制和將數據風險降低到硬件級別的承諾。
什么是機密云?
在過去的一年中,關于機密計算的討論很多,包括安全飛地或可信執行環境(TEE)。現在,這些服務器可在基于Amazon Nitro Enclaves、Intel SGX(軟件保護擴展)和AMD SEV(安全加密虛擬化)芯片構建的服務器中使用。
機密云利用這些技術來建立安全且不可穿透的加密邊界,該邊界從信任的硬件進行無縫擴展,以保護使用中的、靜止的和運行中的數據。
傳統的分層安全方法在數據和不良行為者之間設置障礙,或者為存儲或通信提供獨立的加密,機密云則提供了與數據本身不可分離的強大數據保護。反過來,這消除了對傳統外圍安全層的需求,同時使數據所有者可以在存儲、傳輸或使用數據的任何位置進行控制。
由此產生的機密云在概念上類似于網絡細分和資源虛擬化。但是,機密云不僅可以隔離和控制網絡通信,而且將數據加密和資源隔離擴展到IT、計算、存儲和通信的所有基本元素。
機密云匯集了在與云計算運營內部人員、惡意軟件或潛在網絡攻擊者隔離的可信執行環境中機密運行任何工作負載所需的一切。
這也意味著即使服務器受到物理攻擊,其工作負載仍然是安全的。即使網絡攻擊者具有對服務器的root訪問權限,也可以有效地阻止其查看數據或訪問數據和應用程序,從而提供傳統的微分段技術無法提供的安全級別。
比內部部署設施更加安全
一個有力的論據是,信譽良好的主要云提供商提供了保護絕大多數內部IT基礎設施所需的資源和重點。但數據開放云計算供應商給企業帶來了數據泄露的更大風險,以及無法在首席信息安全官的完全控制下鎖定受到信任的環境。
數據泄露已經體現在迄今為止廣為人知的一些違規事件中,例如CapitalOne公司的大量數據被AWS公司一名員工泄露,并成為從云平臺中泄露數據的一個典型事例。
采用機密云消除了云計算內部人員泄露數據的可能性,從而關閉了數據攻擊面,否則這些數據將暴露給云計算供應商。數據控件可以擴展到可能泄露數據的任何地方,包括存儲、網絡和多個云平臺中。
采用自己的機密云
OEM軟件開發商和SaaS供應商已經正在構建機密云,以保護其應用程序。Redis公司最近發布了其高性能軟件的安全版本,該版本可在多個安全計算環境上運行,從而可靠地創建了世界上最安全的商業數據庫。
Azure機密計算部門已與機密云的供應商合作,以在不對基礎應用程序進行任何修改的情況下,在現有基礎設施上安全地構建和運行任何工作負載。
利用機密計算可以運行以前需要修改代碼才能運行的應用程序。這是因為最初的機密計算技術側重于保護內存。必須修改應用程序才能在受保護的內存段中運行選定的敏感代碼。對大多數企業來說,重寫和重新編譯應用程序的需求對大多數企業來說都是一項繁重的工作,甚至在原有或現成的軟件包中都是不可能的。
全新的“提升與轉移”實施路徑使企業能夠在受保護的機密云中創建、測試和部署敏感數據工作負載,而無需修改或重新編譯應用程序。如今,幾乎所有云計算提供商(包括AWS、微軟Azure和谷歌云)都提供機密的云計算基礎設施。
機密云軟件允許應用程序甚至整個環境在機密云平臺中工作,而無需進行任何修改。附加的軟件抽象和虛擬化層的優勢在于,使機密云本身與英特爾、AMD、亞馬遜和ARM等公司開發的眾多專有安全區域技術和版本無關。
新一代的安全廠商已經簡化了為潛在的公有云客戶實施私有測試和演示環境的過程,這加快了私有應用程序飛地化和生成完整的機密云基礎設施的進程。
數據安全性是將應用程序遷移到云平臺和整合IT資源的最后一道障礙。除了最敏感的應用程序和數據之外,在提供應對云安全漏洞的解決方案方面邁出了重要的一步。消除數據漏洞為企業提供了廣泛的機會,使他們可以簡單地部署基于機密云構建的更加安全的托管IT基礎設施。
