內(nèi)存的安全功能并不新鮮，但由于大流行導(dǎo)致的遠(yuǎn)程工作激增，連接性的增強(qiáng)意味著保護(hù)數(shù)據(jù)更加關(guān)鍵，甚至更具挑戰(zhàn)性。在包括 5G 在內(nèi)的通信基礎(chǔ)設(shè)施之間共享數(shù)據(jù)的新興用例中，安全挑戰(zhàn)被放大了。

同時，啟用安全性會增加內(nèi)存設(shè)計的復(fù)雜性。

甚至在邊緣計算、物聯(lián)網(wǎng) (IoT) 和聯(lián)網(wǎng)汽車爆炸式增長之前，內(nèi)存中的安全功能就已經(jīng)在激增。電可擦可編程只讀存儲器 (EEPROM) 受到信用卡、SIM 卡和無鑰匙進(jìn)入系統(tǒng)的青睞，而 SD 卡中的“S”代表“安全”，而基于閃存的 SSD 多年來一直包含加密。

安全性已經(jīng)穩(wěn)定地嵌入到分布在整個計算系統(tǒng)和網(wǎng)絡(luò)環(huán)境中的內(nèi)存和網(wǎng)絡(luò)設(shè)備中。但是這些基于內(nèi)存的安全功能仍然必須考慮人為錯誤。信息安全專業(yè)人員必須處理用戶打開虛假附件或路由器配置錯誤的后果。

同樣，除非正確配置，并且在包含軟件的系統(tǒng)中協(xié)調(diào)一致，否則安全內(nèi)存功能的好處將無法完全實(shí)現(xiàn)。

您可以說雙 SoC（安全運(yùn)營中心和片上系統(tǒng)）正在合并。

英飛凌的 Semper Secure NOR 閃存可用作硬件信任根，同時還可執(zhí)行診斷和數(shù)據(jù)校正以確保功能安全。（來源：英飛凌）

Rambus 等公司提供旨在保護(hù)每個連接的產(chǎn)品，以響應(yīng)云和邊緣計算中增加的服務(wù)器連接帶寬需求。與此同時，英飛凌科技擴(kuò)展了其賽普拉斯半導(dǎo)體Semper NOR 閃存，以反映每個系統(tǒng)連接的必然性——黑客篡改閃存設(shè)備的內(nèi)容。

這種篡改可能會影響任何數(shù)量的不同計算平臺，包括自動駕駛汽車，它本質(zhì)上是一個帶輪子的服務(wù)器。再加上 5G 網(wǎng)絡(luò)增強(qiáng)的工業(yè)、醫(yī)療和物聯(lián)網(wǎng)場景。安全性不僅需要集成，還需要在許多不同設(shè)備的生命周期內(nèi)進(jìn)行管理，其中一些設(shè)備使用嵌入式內(nèi)存可能會持續(xù)十年。內(nèi)存密集型應(yīng)用程序仍然對黑客最有吸引力。

分析師 Thomas Coughlin 表示，加密密鑰管理對于保護(hù)系統(tǒng)仍然至關(guān)重要。隨著非易失性存儲器技術(shù)的普及，將安全性融入嵌入式系統(tǒng)變得越來越重要。這是因?yàn)榧词乖O(shè)備斷電，數(shù)據(jù)也會持續(xù)存在。

Coughlin 說，挑戰(zhàn)并不在于增加安全功能。例如，SSD 上的數(shù)據(jù)可以加密。“最大的問題是用戶使用這些功能是否容易，因?yàn)橥ǔＷ畋∪醯沫h(huán)節(jié)是人的環(huán)節(jié)。”

智能手機(jī)充當(dāng)身份驗(yàn)證代理，生物識別技術(shù)取代了傳統(tǒng)密碼。這種情況留下了未加密數(shù)據(jù)可能意外暴露的可能性。Coughlin 說，危險在于實(shí)施缺陷或復(fù)雜性。“讓安全變得簡單是關(guān)鍵，這不僅僅是加密數(shù)據(jù)并將其放入硬件。”

SSD 和內(nèi)存供應(yīng)商 Virtium 的營銷副總裁 Scott Phillips 說，加密 SSD 只到此為止。需要一種多層次的管理方法。Phillips 說，雖然Trusted Computing Group 的 Opal規(guī)范等存儲規(guī)范可以達(dá)到 BIOS 級別以進(jìn)行預(yù)啟動身份驗(yàn)證，但配置和集中管理對于防范黑客攻擊至關(guān)重要。

“即使是一家體面的公司也無法實(shí)現(xiàn)很多整體的、復(fù)雜的安全性，”他補(bǔ)充道。

隨著 5G 的發(fā)展，人們正在努力實(shí)現(xiàn)數(shù)據(jù)路徑保護(hù)到數(shù)據(jù)中心和數(shù)據(jù)中心之間，但在實(shí)現(xiàn)基于硬件的安全性的好處方面仍然存在挑戰(zhàn)。

集成要求

在工業(yè)市場中，整合需要整合不同的系統(tǒng)。菲利普斯說，與此同時，亞馬遜網(wǎng)絡(luò)服務(wù)和微軟 Azure 等超大規(guī)模企業(yè)正在促進(jìn)數(shù)據(jù)安全。盡管如此，這些防御必須一直實(shí)施到最終用戶。

盡管標(biāo)準(zhǔn)和要求的列表越來越多，但安全方法仍然存在兼容性問題。菲利普斯說，供應(yīng)商仍在努力將自己定位為安全產(chǎn)品和服務(wù)的領(lǐng)導(dǎo)者。

“黑客總是領(lǐng)先一步，”他補(bǔ)充道。“他們知道所有這些小漏洞在哪里。這些是他們檢查的東西。真的需要一個集中的、超級細(xì)致的 IT 人員或部門來解決所有這些漏洞。”

將安全性嵌入存儲設(shè)備而不是用螺栓固定的想法與軟件方法沒有什么不同。“DevSecOps”是關(guān)于使安全和隱私成為應(yīng)用程序開發(fā)過程中不可或缺的一部分。

一個被稱為“機(jī)密計算”的新興框架旨在通過在基于硬件的可信執(zhí)行環(huán)境 (TEE) 中隔離計算來保護(hù)正在使用的數(shù)據(jù)。在處理數(shù)據(jù)時，數(shù)據(jù)在內(nèi)存和 CPU 之外的其他地方被加密。

英特爾 SGX 支持創(chuàng)建可信執(zhí)行環(huán)境，這是主處理器的一個安全區(qū)域，可確保加載的代碼和數(shù)據(jù)在機(jī)密性和完整性方面受到保護(hù)。

軟件和硬件供應(yīng)商都在推廣機(jī)密計算，包括最近宣布將其應(yīng)用于容器工作負(fù)載的谷歌，英特爾還通過其英特爾軟件保護(hù)擴(kuò)展為 Microsoft Azure 等云提供商啟用 TEE 。

機(jī)密計算需要共同承擔(dān)安全責(zé)任。英特爾產(chǎn)品保障和安全架構(gòu)高級首席工程師西蒙約翰遜表示，人類仍然是最薄弱的環(huán)節(jié)。

約翰遜說，英特爾支持開發(fā)人員執(zhí)行代碼以保護(hù)數(shù)據(jù)。同時，機(jī)密計算運(yùn)動源于企業(yè)要求處理不考慮來源的數(shù)據(jù)，包括敏感的醫(yī)療保健信息、財務(wù)記錄和知識產(chǎn)權(quán)。

約翰遜說，平臺提供商不應(yīng)該能夠看到數(shù)據(jù)。“你想讓盡可能多的人遠(yuǎn)離你的事情。”

英特爾 SGX 包括基于硬件的內(nèi)存加密，可隔離內(nèi)存中的特定應(yīng)用程序代碼和數(shù)據(jù)。它允許用戶級代碼分配專用內(nèi)存“飛地”，旨在與以更高權(quán)限級別運(yùn)行的進(jìn)程隔離。結(jié)果是更精細(xì)的控制和保護(hù)，以防止針對 RAM 中的內(nèi)存的冷啟動攻擊等攻擊。

英特爾框架還旨在幫助抵御基于軟件的攻擊，即使操作系統(tǒng)、驅(qū)動程序、BIOS 或虛擬機(jī)管理器受到威脅。

機(jī)密計算將使工作負(fù)載成為可能，例如對不屬于用戶的大型數(shù)據(jù)集進(jìn)行分析。它還可以在更接近工作負(fù)載的地方執(zhí)行加密密鑰，從而改善延遲。“今天我們真的只有軟件來提供保護(hù)，”約翰遜說。“我們在這類環(huán)境中沒有硬件保護(hù)。”

Johnson 說，機(jī)密計算將通過以機(jī)密計算聯(lián)盟的授權(quán)為代表的硬件和軟件生態(tài)系統(tǒng)來保護(hù)數(shù)據(jù)或代碼的處理。

Virtium 的 Phillips 指出，易用性幾乎總能提高安全性。按鈕式內(nèi)存加密是目標(biāo)，“而全面的安全性將來自除此之外的附加功能，”他補(bǔ)充道。

他說，這個想法不僅僅是加密內(nèi)存，而是保證完全的數(shù)據(jù)隔離，以確保安全的環(huán)境。“機(jī)密計算不僅僅是加密內(nèi)存，是一個更廣泛的故事。”

這也是為了適應(yīng)一個異質(zhì)的世界。“在使用數(shù)據(jù)時，您必須提供一層訪問控制，并能夠證明您正在使用該軟件，并且該數(shù)據(jù)位于某個區(qū)域。它把所有這些東西都建在了梯子上。”