Microsoft Azure实现可信计算中的数据处理时加密

目录 SOLUTION

在可信计算的全链路加密中,数据处理时的加密一直非常困难,因为不管数据怎么加密存储,必须要解密成明文才能处理,而在数据处理的解密过程中,就有可能会造成数据泄露,如以下途径:

1、解密后的明文数据会在内存中,可能会被恶意App获取

2、解密的操作权限一般是root,攻击者可能会获取到root权限,从而执行解密操作,获取明文数据

 

所以在数据处理时,如果要避免明文数据泄露,这个操作不能放在OS里,需要放在更底层。Azure通过2种方式实现可信的执行环境(TEE, Trusted Execution Environment),分别是Virtual Secure Mode (VSM) 和 Intel SGX。VSM是基于软件的TEE,由Windows 10和Windows Server 2016中的Hyper-V实现,Hyper-V可防止本地管理员、云服务管理员或以这些权限执行的代码,对VMS中的数据执行增删查改;Intel SGX是一种基于硬件的TEE,对于OS它就是一个黑盒子,待处理的密文进去,处理后的密文出来,这也是首个在公有云中支持Intel SGX技术的云厂商。

如果云能解决数据私密性问题,将得到更广泛的应用。

参考:https://span.eu/en/2017/10/microsoft-azure-youll-be-even-more-secure-in-the-cloud-now/

暂无评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注