今天，當(dāng)我們談及大數(shù)據(jù)、人工智能（AI）這些前沿技術(shù)與應(yīng)用創(chuàng)新，采用云化部署似乎已成為Default（缺?。┻x項(xiàng)而非Optional（可選項(xiàng)）。在更多考慮如何讓豐富的云端數(shù)據(jù)有效地為行業(yè)降本增效、推陳出新提供強(qiáng)勁動(dòng)力的浪潮之中，仍有一個(gè)因素不容忽視，這就是云端數(shù)據(jù)隱私防護(hù)。

事實(shí)上，由云服務(wù)帶來(lái)的更多數(shù)據(jù)交互、資源共享，也讓系統(tǒng)遭受著愈演愈烈的黑客攻擊。一旦平臺(tái)發(fā)生用戶(hù)個(gè)人隱私泄漏、或是系統(tǒng)被攻破后遭遇APT（高級(jí)可持續(xù)威脅）攻擊，那么由此造成的影響顯然難以估量。

針對(duì)云端數(shù)據(jù)隱私防護(hù)，業(yè)界也通過(guò)軟硬件加密等手段，在過(guò)去幾十年中筑起了一道又一道的防護(hù)高墻。但這些方案往往集中在數(shù)據(jù)傳輸和數(shù)據(jù)靜態(tài)存儲(chǔ)領(lǐng)域中，如果數(shù)據(jù)處于使用中時(shí)，由于數(shù)據(jù)和應(yīng)用在CPU和內(nèi)存中需要使用明文（未加密的數(shù)據(jù)與應(yīng)用代碼）才能進(jìn)行計(jì)算處理，惡意軟件便可借由窺視、攻擊內(nèi)存中的內(nèi)容來(lái)實(shí)施黑客行為。

圖一  三種狀態(tài)下的數(shù)據(jù)保護(hù)??[1]??

當(dāng)云環(huán)境中數(shù)據(jù)傳輸與靜態(tài)存儲(chǔ)的安全墻越筑越高，處于使用態(tài)的數(shù)據(jù)也就更易成為黑客的重點(diǎn)“關(guān)注”對(duì)象。如果在這一環(huán)上缺乏有效手段進(jìn)行防護(hù)，數(shù)據(jù)的使用安全就變成了阿喀琉斯之踵。

用金箍棒畫(huà)一個(gè)圈，可信執(zhí)行環(huán)境里的機(jī)密計(jì)算

近年來(lái)，有關(guān)云環(huán)境中的數(shù)據(jù)隱私保護(hù)話(huà)題中，機(jī)密計(jì)算（ConfidentialComputing）出現(xiàn)的頻次與日俱增。說(shuō)到機(jī)密計(jì)算，就不得不先聊一下可信執(zhí)行環(huán)境（TrustExecution Environment，以下簡(jiǎn)稱(chēng)TEE）這個(gè)概念。

簡(jiǎn)單來(lái)說(shuō)，TEE就是一個(gè)能提供一定級(jí)別數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性和代碼完整性保證的環(huán)境。這如同孫悟空去化齋前，用金箍棒給師父和八戒沙僧畫(huà)的那個(gè)圈，在這個(gè)圈里，妖魔鬼怪既伸不了手，也不能用法力將師父擄走。

劃好TEE這個(gè)保護(hù)圈，師父（敏感數(shù)據(jù)/代碼）只要不瞎聽(tīng)八戒攛掇走出圈外，就大可太太平平地念經(jīng)修佛（執(zhí)行計(jì)算）。

因此在機(jī)密計(jì)算的設(shè)計(jì)中，通過(guò)CPU給敏感數(shù)據(jù)與代碼分配一塊隔離的內(nèi)存（即TEE保護(hù)圈），除非經(jīng)過(guò)授權(quán)，任何軟硬件，包括主機(jī)操作系統(tǒng)（Host OS）、虛擬機(jī)監(jiān)控程序 (VMM)、BIOS等，統(tǒng)統(tǒng)都不能訪(fǎng)問(wèn)這塊內(nèi)存中的數(shù)據(jù)。如此，機(jī)密計(jì)算便能為客戶(hù)提供以下三種安全保障：

n  數(shù)據(jù)機(jī)密性：未經(jīng)授權(quán)的實(shí)體無(wú)法查看在TEE內(nèi)使用中的數(shù)據(jù)；

n  數(shù)據(jù)完整性：未經(jīng)授權(quán)的實(shí)體不能添加、刪除或更改在TEE內(nèi)使用中的數(shù)據(jù)；

n  代碼完整性：未經(jīng)授權(quán)的實(shí)體不能添加、刪除或更改TEE中執(zhí)行的代碼。

可以看到，借助TEE的保護(hù)，機(jī)密計(jì)算就可以通過(guò)多樣化的方案和手段來(lái)對(duì)云端數(shù)據(jù)安全實(shí)施有效保障，補(bǔ)齊云端數(shù)據(jù)在“傳輸安全”、“存儲(chǔ)安全”之外的那塊“使用安全”短板。

由此得到的可信云服務(wù)，無(wú)疑將是云服務(wù)領(lǐng)域的“二級(jí)火箭”。

眾所周知，數(shù)據(jù)安全一直是客戶(hù)將敏感數(shù)據(jù)和關(guān)鍵業(yè)務(wù)負(fù)載部署到云環(huán)境的顧慮之一。例如在AI、大數(shù)據(jù)分析領(lǐng)域，雖然大家都認(rèn)同借助云服務(wù)的敏捷性和低TCO去聚集更多數(shù)據(jù)，帶來(lái)更大、更好的成果。但出于隱私泄露和數(shù)據(jù)風(fēng)險(xiǎn)的考量，許多客戶(hù)還是選擇保持觀(guān)望，由此造成的“數(shù)據(jù)孤島”現(xiàn)象也令許多AI專(zhuān)家、數(shù)據(jù)科學(xué)家扼腕嘆息。

現(xiàn)在，借助機(jī)密計(jì)算方案，云服務(wù)提供商可將不受信任的組件移出可信計(jì)算基礎(chǔ)（TCB），只將需要的硬件和受保護(hù)的應(yīng)用程序留在可信邊界內(nèi)，這在保持云服務(wù)敏捷性的同時(shí)也實(shí)現(xiàn)了對(duì)不同場(chǎng)景中敏感型工作負(fù)載的實(shí)時(shí)保護(hù)。

而更多新工具、新方法的涌現(xiàn)，也讓客戶(hù)在云服務(wù)中部署，或遷移至機(jī)密計(jì)算的過(guò)程變得越來(lái)越便捷。一些方案甚至能做到幾乎不進(jìn)行更改，就實(shí)現(xiàn)原有應(yīng)用程序的遷移，使機(jī)密計(jì)算的行業(yè)接受度變得越來(lái)越高。一些統(tǒng)計(jì)數(shù)據(jù)表明：有88%來(lái)自數(shù)據(jù)敏感行業(yè)的受訪(fǎng)者表示將接受機(jī)密計(jì)算??[2]??。

以“飛地”加持機(jī)密計(jì)算，英特爾? SGX成就云端數(shù)據(jù)安全島

機(jī)密計(jì)算對(duì)于使用中的云端數(shù)據(jù)能有如此霸氣的保護(hù)，那一定離不開(kāi)強(qiáng)大的硬件環(huán)境予以輔助。雖然孫悟空與金箍棒只在神話(huà)中出現(xiàn)，但在現(xiàn)實(shí)中，英特爾? 軟件防護(hù)擴(kuò)展（英特爾? Software Guard Extensions, 英特爾? SGX）技術(shù)能以其開(kāi)辟“飛地（Enclave）”的能力達(dá)到同樣的效果，為云端數(shù)據(jù)打造安全可信賴(lài)的安全島提供強(qiáng)力支撐。

英特爾? SGX是如何加持機(jī)密計(jì)算，以及在對(duì)敏感數(shù)據(jù)和代碼提供增強(qiáng)型安全防護(hù)方面又具備哪些優(yōu)勢(shì)特性？

一方面，英特爾? SGX可以在內(nèi)存空間中開(kāi)辟出一個(gè)可信的、受到嚴(yán)密保護(hù)的安全“飛地（Enclave）”。它通過(guò)嚴(yán)格的訪(fǎng)問(wèn)控制和加密操作去保障其中的數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性和代碼完整性，確保即使是主機(jī)操作系統(tǒng)、BIOS等高等級(jí)應(yīng)用和底層基礎(chǔ)系統(tǒng)都不能隨意訪(fǎng)問(wèn)這部分空間。

圖二 英特爾? SGX 提供的安全“飛地”

當(dāng)一些敏感工作負(fù)載需要實(shí)現(xiàn)數(shù)據(jù)“可用不可見(jiàn)”時(shí)，英特爾? SGX就能以“飛地”機(jī)制為機(jī)密計(jì)算中的數(shù)據(jù)與代碼提供安全島。即便高等級(jí)應(yīng)用、底層基礎(chǔ)系統(tǒng)在惡意攻擊中受損，“飛地”也可通過(guò)基于硬件的、增強(qiáng)型的安全防護(hù)來(lái)阻斷這些攻擊，避免其中的數(shù)據(jù)或代碼被竊取或篡改。

與此同時(shí)，英特爾? SGX也提供了完備的鑒權(quán)能力，能在阻斷攻擊的同時(shí)證明自己的運(yùn)行未被篡改。這猶如一套完備可靠的、用于安全島準(zhǔn)入的認(rèn)證流程，讓數(shù)據(jù)、代碼的傳遞及進(jìn)入“飛地”的動(dòng)作變得更為安全牢靠。

隨著客戶(hù)對(duì)安全防范要求的提升，英特爾也對(duì)SGX技術(shù)進(jìn)行了全面強(qiáng)化。在配置了面向單路和雙路的第三代英特爾? 至強(qiáng)? 可擴(kuò)展處理器的系統(tǒng)中，雙路系統(tǒng)中最高可支持1TB容量的“飛地”空間，更大的空間意味著能容納更多、更大體量的應(yīng)用程序和核心數(shù)據(jù)。當(dāng)云上應(yīng)用火力全開(kāi)時(shí)，可實(shí)現(xiàn)更大數(shù)據(jù)量的機(jī)密計(jì)算無(wú)疑更能輕松應(yīng)對(duì)數(shù)據(jù)安全挑戰(zhàn)。

實(shí)戰(zhàn)：攜手京東云，英特爾? SGX助力TalkingData構(gòu)建基于TEE的數(shù)據(jù)安全島

如何實(shí)現(xiàn)數(shù)據(jù)價(jià)值挖掘最大化？建立大數(shù)據(jù)平臺(tái)無(wú)疑是重要的方向之一。聯(lián)動(dòng)多源數(shù)據(jù)，盤(pán)活數(shù)據(jù)價(jià)值，正成為企業(yè)洞悉消費(fèi)者需求、驅(qū)動(dòng)業(yè)務(wù)創(chuàng)新的最佳策略之一。

什么是數(shù)據(jù)價(jià)值挖掘中的最大隱患？答案也很明確，安全隱患。高自由度的數(shù)據(jù)流通，意味著隨時(shí)可能出現(xiàn)數(shù)據(jù)泄露等問(wèn)題，帶來(lái)數(shù)據(jù)資產(chǎn)流失、合規(guī)性遭受質(zhì)疑等風(fēng)險(xiǎn)。

企業(yè)用于數(shù)據(jù)價(jià)值挖掘的數(shù)據(jù)，往往是其各類(lèi)業(yè)務(wù)場(chǎng)景中的關(guān)鍵數(shù)據(jù)，例如營(yíng)銷(xiāo)數(shù)據(jù)。既要讓這些數(shù)據(jù)價(jià)值最大化，又要絕對(duì)保證數(shù)據(jù)內(nèi)容不外泄，無(wú)疑需要像鋼絲繩上的踢踏舞表演一般，慎之又慎。

事實(shí)上，作為領(lǐng)先的數(shù)據(jù)服務(wù)提供商，TalkingData在為客戶(hù)設(shè)計(jì)和構(gòu)建數(shù)據(jù)挖掘解決方案時(shí)，最耗費(fèi)心思、也最難以說(shuō)服客戶(hù)的內(nèi)容之一，就是如何充分保證數(shù)據(jù)的安全性。

“營(yíng)銷(xiāo)場(chǎng)景中數(shù)據(jù)紅利價(jià)值發(fā)揮的重要前提就是安全，特別是在個(gè)人信息保護(hù)法、數(shù)據(jù)安全法等法律法規(guī)相繼施行的背景下，數(shù)據(jù)安全更是成為事關(guān)企業(yè)數(shù)據(jù)戰(zhàn)略成敗的關(guān)鍵。”來(lái)自TalkingData 的數(shù)據(jù)產(chǎn)品專(zhuān)家這樣說(shuō)道。

為此，TalkingData決定與英特爾和京東云展開(kāi)合作，利用京東云安全環(huán)境以及英特爾? SGX技術(shù)，打造基于TEE的TalkingData安全島解決方案，來(lái)為企業(yè)數(shù)據(jù)價(jià)值挖掘打造值得信賴(lài)的安全保障。

傳說(shuō)中，威尼斯人將制鏡工藝壟斷了300多年之久并獲取了巨額的財(cái)富。重要的方法之一是將所有的鏡子工坊搬到了穆拉諾島上，任何外國(guó)人都不能靠近。進(jìn)出島嶼的只有密封的原料箱子和已經(jīng)成品裝箱的鏡子。

同樣，如圖三所示，TalkingData安全島解決方案的核心是京東云安全環(huán)境，以及基于英特爾? SGX構(gòu)建的TD安全島（即前文所述的安全“飛地”），來(lái)自企業(yè)客戶(hù)與TalkingData的數(shù)據(jù)會(huì)在經(jīng)過(guò)動(dòng)態(tài)加密后上傳到其中。

在使用這些加密數(shù)據(jù)執(zhí)行三方標(biāo)簽增補(bǔ)、ID-Mapping、TA Scoring 模型、CPO 報(bào)告等核心數(shù)據(jù)挖掘應(yīng)用時(shí)，安全島會(huì)通過(guò)TLS（Transport Layer Security，安全傳輸層協(xié)議）鏈路來(lái)傳遞解密秘鑰，所有數(shù)據(jù)的解密及運(yùn)行過(guò)程均在安全島上進(jìn)行，數(shù)據(jù)不出硬件環(huán)境，最大限度的保證客戶(hù)及各參與方的數(shù)據(jù)安全。

圖三 TalkingData安全島平臺(tái)安全交付示意圖

而京東云安全環(huán)境也為方案提供了多重安全機(jī)制，例如遠(yuǎn)程可信安全驗(yàn)證服務(wù)，這一認(rèn)證服務(wù)可用于驗(yàn)證、監(jiān)控、及管理安全島。只有被其認(rèn)證通過(guò)，才能登上特定的“獨(dú)木船”去訪(fǎng)問(wèn)安全島。

現(xiàn)在，這一方案已在多個(gè)行業(yè)進(jìn)行了部署實(shí)施，來(lái)自客戶(hù)的反饋表明，其能夠有效解決數(shù)據(jù)服務(wù)中，數(shù)據(jù)提供方、數(shù)據(jù)需求方、算法方、渠道方等多方的安全顧慮，在安全可信的環(huán)境下實(shí)現(xiàn)數(shù)據(jù)的融合互通。

可以說(shuō)，集成了京東云安全環(huán)境以及英特爾? SGX的TalkingData 安全島，以其在硬件層面“看得見(jiàn)”的安全性，吸引了更多的企業(yè)和用戶(hù)可以放心地將敏感數(shù)據(jù)、關(guān)鍵業(yè)務(wù)部署在云端，享受更多云服務(wù)帶來(lái)的優(yōu)勢(shì)，從而更大限度發(fā)揮數(shù)據(jù)的價(jià)值，有效助力客戶(hù)賦能數(shù)據(jù)應(yīng)用的落地和價(jià)值產(chǎn)出。

更多云端場(chǎng)景正在引入機(jī)密計(jì)算

事實(shí)上，隨著機(jī)密計(jì)算方案的不斷演進(jìn)，以及英特爾等積極參與方在相關(guān)軟硬件技術(shù)上的持續(xù)推進(jìn)，更多在云端部署具有優(yōu)勢(shì)的應(yīng)用正在開(kāi)展機(jī)密計(jì)算的實(shí)踐與探索，包括區(qū)塊鏈、邊緣云以及物聯(lián)網(wǎng)等。英特爾? SGX、英特爾? TDX等機(jī)密計(jì)算相關(guān)技術(shù)在這些領(lǐng)域的運(yùn)用，正幫助更多云服務(wù)用戶(hù)擺脫隨處可見(jiàn)的數(shù)據(jù)孤島，在敏感型工作負(fù)載、數(shù)據(jù)應(yīng)用和數(shù)據(jù)分析上獲得更強(qiáng)的競(jìng)爭(zhēng)力。

??[1]?? 如欲了解更多詳情，請(qǐng)?jiān)L問(wèn)：https://www.intel.cn/content/www/cn/zh/cloud-computing/the-critical-need-for-confidential-computing.html

??[2]??  如欲了解更多詳情，請(qǐng)?jiān)L問(wèn)：https://www.intel.cn/content/www/cn/zh/customer-spotlight/cases/confidential-computing-possibilities-cloud.html