本月初,谷歌发布了一个开源框架,用以在可信执行环境(TEE)中开发应用程序——提供保护代码和数据的enclaves环境。
过去,在TEE 中开发和运行软件需要专业的知识和工具,但诸如Asylo等的机密运算平台消除了知识和平台的障碍,从而允许更多的开发人员能够在云端开发和运行应用程序。
Asylo框架将能够在enclaves中验证代码的完整性、隔离敏感的工作负载以及提供通讯加密工具。Asylo当前的版本能够在enclaves中开发应用程序,该应用程序可以跨多个软件和硬件终端进行移植,并且下一代的Asylo将扩展到允许开发人员在受保护的空间中复制和运行整个应用程序。
保护云工作负载和数据完整性是企业的一项首要任务,正如微软Azure首席信息官Mark Russinovich所描述的,云提供商们已经加强了这些“安全功能即服务”。
机密运算功能对客户是十分重要的,但并不是所有的云工作负载都需要在enclave环境中运行。这样的功能更适合敏感信息、工作负载和通讯,许多公司出于隐私方面的考虑,避免将其存储在公有云上。
在TEE中也可以融入加密技术,以保护代码和数据,但加密闲置和使用中的数据是十分重要的,问问Equifax就知道了。据Russinovich表示,去年10月,微软推出了“Always Encrypted(总是加密的)”技术,来为使用中的数据提供加密,而这正是云安全所“缺失的部分。”
谷歌云平台上的开源安全工具不断增多,Asylo平台便是其中一个,去年9月,谷歌通过与Spotify共同创建的Foreseti安全社区推出了该平台。近来,谷歌也在其电子邮件平台中新增了一个加密模式。
但是利用不同的工具又是另一个挑战。绝大多数的IT安全专业人士都认识到,加密是在云中安全存储数据的最有效方式,尽管只有六分之一的人加密了云中所有的数据。大多数公司加密其他地方的数据总量是在云中的31%到60%。