智东西（公众号：zhidxcom）
编 | 李水青

导语：将商业机密、指纹特征、交易购买记录等数据放在“云”上安全吗？现在，全球十家云服务巨头建立联盟，共同致力于保护云计算中的数据安全。

智东西8月22日消息，今天，Linux基金会宣布多家巨头企业组建“机密计算联盟”（Confidential Computing Consortium），该基金将负责对联盟活动进行监督。机密计算联盟专门针对云服务及硬件生态，致力于保护计算数据安全。联盟创始成员包括阿里巴巴、Arm、百度、谷歌云、IBM、英特尔、微软、红帽、瑞士通和腾讯，不包括全球最大的云服务器运营商亚马逊。

随着云计算及人工智能技术的发展，云办公、云笔记、图文云处理等应用使人们的工作和生活更加便捷。同时，人们对于数据隐私的担忧也由此升级。越来越多的商业机密、人脸指纹等特征数据被存储在云上，这能让我们长久放心吗？

机密计算联盟致力于解决这一问题。该联盟积极寻求基于硬件和软件的技术解决方案，用以在处理计算机内存时隔离用户数据。通过机密计算方案，敏感数据能免于被暴露给其他应用程序、操作系统或者服务器租用者。

目前，联盟主要的策略方法是可信执行环境（Trusted Execution Environment，简称TEE）技术方案。英特尔、微软、红帽还围绕此方案共享了开源工具。

一、用可信执行环境技术保护计算安全

支持机密计算实践的最简单方法是利用TEE，TEE是相对于普通执行环境（Rich Execution Environment，简称REE）来说的。

REE包括运行在通用的嵌入式处理器上的普通操作系统及其上的客户端应用程序。尽管人们在REE中采取了很多诸如设备访问控制、设备数据加密机制、应用运行时的隔离机制、基于权限的访问控制等安全措施，仍无法保证敏感数据的安全性。

TEE是运行于普通操作系统之外的独立运行环境，其向一般操作系统提供安全服务并且与普通操作系统隔离。普通操作系统及其上的应用程序无法直接访问TEE的硬件和软件资源。TEE技术方案可以为不安全的操作系统提供安全的服务。

▲TEE层次架构图

TEE技术通常用于云计算。在云计算中，一台服务器会被多个客户分享，面对数据处理的风险，云服务提供商用TEE技术来保护这些数据。

其实，除了云计算，许多普通的应用程序也可以使用TEE技术方案。例如，如果想保护智能手机上的机密数据，可以用TEE技术来隔离指纹的采集、存储、验证等过程，即使手机被越狱或Root，攻击者也无法获取指纹数据。

推进TEE技术的使用将是机密计算联盟的主要目标之一。通过为TEE技术提供开源工具、建立监管标准以及在其客户和开发人员社区中开展教育活动，联盟成员都可以帮联盟实现目标。

二、英特尔、微软、红帽共享开源工具

除了宣布机密计算联盟的成立，英特尔、微软和红帽将为联盟共享三种开源工具。多年以来，这几个工具一直是开放的开源项目。但是据称，在这些开源工具贡献出来之后，它们的开发主导权就属于联盟，而不是原主人了。这三款工具分别是：

1、英特尔软件保护扩展开发套件（Intel® Software Guard Extensions Software Development Kit）。这款套件是为了帮助应用开发者保护所选择的代码和数据，避免代码和数据在硬件层次被泄露或修改。

2、微软开放飞地软件开发套件（Microsoft Open Enclave SDK）。“飞地”也是TEE技术的别称。这是一个开源框架，允许开发者通过建立抽象的TEE技术，进而一次构建跨多个TEE体系结构运行的应用程序。

3、红帽Enarx。为TEE方案提供一个虚拟的平台，以支持创建和运行“私有”、“可替换”、“无服务器备份”的应用程序。

不过，目前为止这个联盟工具阵容中缺少了谷歌云的Asylo。就像前面的三个工具一样，Asylo是一种开源框架和软件开发组件，能用于开发在TEE方案中运行的应用程度。谷歌云并没有正式宣布将其Asylo的领导权转移给联盟。

文章来源：ZDNet