105      技術社區[雲棲]

新的芯片設計將會顯著提高數據安全

如果數據在數據庫中存儲以及數據在不同地方傳輸時都被加密，那麼人們可能會認為這種方法比較安全。但是這仍然給數據中心安全策略留下了一個很大的盲區：要使用這些數據，必須對其進行解密，在解密的過程將會為攻擊者創建一個窗口，以便從內存中抓取數據。

如今已經出現了多種方法來解決這個問題，但是隻有一個方法被證明是實用的，並且在數據中心運營商中越來越受歡迎。與人們的智能手機存儲最敏感的個人數據的方式類似，此方法不會將選擇敏感的應用程序數據以未加密的狀態暴露給主機操作係統。

最近的一個例子是利用Heartbleed漏洞的攻擊。Cygilant公司安全研究主管Neil Weitzel說：“黑客能夠從內存中獲取存儲的數據。”

現在也有各種各樣的解決方法。一些公司使用令牌替換關鍵數據，這樣他們就可以處理敏感信息而不會暴露它們。其他人使用保存功能的加密功能，稱為同態加密。

但是，標記化和同態加密都有很大的局限性，並沒有被廣泛采用的數據中心安全以外的一些特定的使用情況。另外，任何基於軟件的解決方案都會影響性能。

NTT安全公司威脅情報產品管理總監ChrisCamejo說：“在同態係統的情況下，這些影響性能的情況很普遍。”

輸入基於硬件的安全飛地

通過新型智能手機就會看到這種方法的一個例子。人們的iPhone或Android手機中的“安全元素”存儲個人的生物識別信息和付款數據，使其不會暴露給操作係統的其他部分。

數據中心安全等同於2015年發布的英特爾SGX芯片，其中包括一個可信的運行時間係統，其中安全的私有安全區域被留出以供正在運行的應用程序使用。

即使黑客能夠進入本地操作係統，他們也將無法竊聽應用程序正在做什麼。

安全廠商Fortanix公司近日發布了一款產品，利用新硬件來保護加密密鑰和數據，而應用程序開發將會積極使用。

Fortanix公司聯合創始人兼首席執行官Ambuj Kumar表示，安全飛地適用於其他應用程序或操作係統本身。

他說：“如果在操作係統中發現了一個零日的錯誤，這個飛地是安全的。如果具有惡意的內部人員訪問係統，這個飛地是安全的，如果一個能夠解密所有內存的物理攻擊，飛地被嵌入CPU內部，所以它仍然是安全的。”

因此，如果導致大量數據對外泄露的Equifax公司使用安全區域運行其應用程序，則在運行時加密將保護它的話，就不會造成這麼大的影響。

他說：“可以在Apache Struts中發現一個漏洞，並使用它升級權限，現在人們可以控製整個係統以及係統上運行的所有應用程序。但是，當嚐試使用它時，運行時加密將阻止這種攻擊。”

Equifax公司將黑客獲得美國信貸局存儲的14550萬人的個人信息的安全漏洞歸因於開源Web應用服務器ApacheStruts的未修補實例。

Fortanix公司運行的加密平台允許現有應用程序利用新的基於硬件的安全性。

Kumar說：“應用程序認為它是在解密的數據上運行。當程序需要時，數據總是變得神奇可用，不需要其他的應用程序管理來加載或卸載數據。“

英特爾公司的SGX擴展自2016年以來一直在市場上推出，可用於企業的本地數據中心和雲服務下的基礎架構。

例如，Microsoft Azure在其新的Azure保密計算產品中支持SGX的飛地技術，今年9月這種產品已提供給早期客戶。

Equinix和IBM也在致力於支持安全飛地。

但Kumar警告說，在運行時進行加密並不是解決數據中心安全性的一個靈丹妙藥。

例如，如果應用程序本身受到攻擊（無論是通過漏洞還是通過盜取證書），黑客就可以使用它來訪問數據。

數據中心運營商Markley集團首席技術官Patrick Gilmore表示，運行時加密對於保護公共和多租戶基礎設施（如雲平台）中的數據至關重要。但是它在數據中心中也有一席之地。

他說：“並不是所有的威脅都是來自外部的。”

本文轉自d1net（轉載）

最後更新：2017-11-16 16:04:44

  上一篇：  工信部發布5G頻譜規劃：中國首推中頻段5G商用

  下一篇：  靈活部署的數據中心Pod已初見端倪