當保護數據時，人們傾向于考慮兩種狀態之一——靜止狀態和傳輸狀態——這兩種狀態都可以被加密或標記以保護它們。但那些正在使用的數據呢?那些被算法分析或被企業員工查看的數據呢?如果這些正在使用的數據駐留在邊緣或物聯網環境中，而這些環境通常是不受控制的，會發生什么呢?

在某些情況下，企業可以像保護其他實體和數字基礎設施一樣保護正在使用的數據。他們可以限制物理訪問他們的辦公室，可以使用無數的工具來檢測對他們的計算機、服務器或云部署的網絡安全威脅。例如，當使用實時分析平臺來監控已部署應用中的異常日志，或使用批量分析市場數據來更好地了解客戶趨勢時，這些措施就派上用場了。

但越來越多的公司不僅在邊緣設備上部署了更多的設備，而且還要求這些設備進行更多的計算，比如對輸入的傳感器數據運行機器學習(ML)算法，以做出自主決策。例如，如果遠程機器上的設備達到潛在危險的狀態，它可能會自動使系統脫機。邊緣設備通常位于偏遠的位置或公共環境中，幾乎不可能像標準發布的數據中心那樣進行監控和保護。

這就引出了一個問題:但是，隨著越來越多的計算發生在邊緣地帶，企業將如何保護他們正在使用的數據不被危險的窺探者發現?

保護使用中的數據與機密計算

一種可行的解決方案是機密計算，它使用特殊的硬件將部分或全部數據、特定功能甚至整個應用程序與系統的其他部分隔離開來。這種硬件為數據、函數或應用程序創建了一個可信的執行環境(TEE，有時稱為飛地)，而操作系統的其他部分無法查看這些數據、函數或應用程序——即使使用調試器，即使操作系統本身受到損害。TEE拒絕運行任何被修改過的代碼，比如注入惡意軟件。

機密計算可以確保內存信息的安全，不僅不會受到網絡安全威脅，也不會受到第三方的威脅，這些第三方負責運營企業基礎設施的其他關鍵任務，比如公共云提供商及其員工。

越來越多的公共云提供商正在提供機密計算，但增長緩慢，因為在嚴格控制的硬件和軟件關系中實現可靠的TEE非常復雜。但當它發揮作用時，機密計算可以幫助企業保護他們的數據，并更好地利用敏感的工作負載，無論它們可能被收集和存儲在哪里。

將機密計算帶到邊緣的價值

邊緣的機密計算還處于相對初級階段，但在這些不安全和不穩定的環境中，它的明確價值是毋庸置疑的。

具有靈活性的氣隙硬件的安全性：在高度管制環境中運營的公司在沒有機密計算的情況下根本無法部署邊緣計算——數據丟失和網絡攻擊的風險太大了。但是有了TEE來保護他們的工作負載，他們突然有了新的機會來收集實時數據，監控他們的操作環境，或者為他們的客戶提供更多的深度和上下文。

與合作伙伴安全地共享數據：機密計算可以根據觀察數據的人來隔離敏感數據集的特定部分，這使得多個利益相關者(即使是在不同的公司)可以查看共享數據的相關部分。工業操作可以讓制造他們機器的制造商訪問特定的傳感器信息，而不暴露任何專有信息。

保護算法或其他知識產權：有了機密計算，一家軟件開發公司創建了一個用于邊緣計算的復雜的ML算法，現在可以在TEE中保護他們的專有代碼，在TEE中，沒有人——即使是他們所幫助的值得信任的客戶——可以窺視“黑匣子”，弄清楚它是如何工作的。

有些公司不想知道、收集或存儲關于他們的客戶或合作伙伴的某些事情。機密計算，無論是在邊緣還是在數據中心，提供了硬件級別的保證，每個人都只能看到為他們設計的東西。

是什么阻礙了邊緣機密計算?

如果這項技術如此強大，為什么不在所有的云計算和邊緣環境中都適用呢?為什么它不是默認值?

如前所述，開發硬件TEEs是一項極為復雜的任務。IBM云、Azure和谷歌云平臺都提供了一定程度的機密計算，這要歸功于諸如第二代AMD EPYC?cpu和英特爾Xeon cpu等提供英特爾SGX(軟件保護擴展)技術的cpu。但是這些仍然是特殊的VMs，而不是標準的計算環境。

機密計算聯盟(CCC)也于2019年成立，以定義行業標準并推廣開源工具。大行業人士的支持,如AMD,谷歌、IBM和Red Hat,英特爾、微軟和VMware,雖然它是發布了一個軟件開發工具包(SDK)和Red Hat Enarx-an運行應用程序的開源框架在TEEs-all上述部署在公共云發生以外的財團。

所有這些都意味著，在被廣泛采用之前，處于邊緣的機密計算還有很長的路要走，但是現在是讓您和您的團隊熟悉新的框架和軟件開發過程的好時機。嘗試它們，在您選擇的公共云中應用它們，并為邊緣的機密未來做好準備。