英特尔——VM的机密计算解决方案

编辑| Qiao

出品 | 青投创新

英特尔的虚拟机隔离技术，即英特尔信任域扩展（英特尔TDX），旨在保护存储在与底层硬件隔离的可信执行环境（TEE）内的虚拟机的数据。这意味着在TEE内处理的数据不能被云服务提供商所访问。英特尔的新型虚拟机 （VM） 隔离技术英特尔信任域扩展 （英特尔 TDX）可将现有应用移植到机密环境中，并将在微软 Azure、阿里云、Google Cloud 和 IBM Cloud 中首次亮相。

其多云信任验证和软件认证服务Project Amber将于2023年中期推出，以帮助企业验证TEE、设备和信任根的可信度。

英特尔通过扩大其保密计算生态系统，为企业提供了一套解决方案，以保护传输、静态和存储中的数据，使他们能够在企业内部、云和边缘环境中生成见解，同时验证交付这些数据集的组件和软件的完整性。

机密计算和软件供应链

当前，越来越多的企业在努力平衡数据的可访问性和安全性。研究表明，由于实施数据访问控制方面存在挑战的原因，企业平均使用的数据只达到了58%。

通过将英特尔的TDX VM级别的保护以及英特尔软件防护扩展（SGX）等解决方案相结合，利用应用隔离技术保护正在使用的代码和数据，使其不被修改。因此企业将能够更好地信任云和网络边缘的软件和见解的完整性。

英特尔表明，这种方法远远超出了传统验证服务的能力。

英特尔研究员、首席至强安全架构师Amy Santoni说："认证提供了加密保证，TEE是真实的，其微码补丁符合更新策略，并且TEE是使用经过验证的固件正确启动。

"SGX可以更进一步，并验证加载在该飞地中的应用软件是否与开发者提供的清单相匹配。因此，开发人员可能是与云基础设施相分开的，但有一种方法可以确保该应用程序正好是SGX开发人员所提供的相关应用程序，"Santoni表明。

Project Amber

同时，即将发布的Project Amber有可能简化“the zero-trust journey”。

"‘zero-trust’的实践和原则认为，在基础设施供应商和认证供应商之间应该有一个责任划分，"CTO办公室系统架构和工程副总裁Anil Rao说，"例如，如果你要买一辆二手车，机械师说车里的东西都是好的，但你并不会相信他的话，你一般会去找一个独立的机械师来检查，确保汽车是好的。"

因此，Project Amber作为一个独立的实体，可以用来验证整个环境中使用的软件组件，而不必依赖应用程序供应商或云服务提供商来证明其自身产品的安全性。

这意味着企业可以在实际中网络边缘部署AI/ML模型，从可信的来源中生成见解，同时确保敏感数据和个人身份信息（PII）不被盗用或篡改。

机密计算市场审视

英特尔的最新解决方案适合机密计算市场，研究人员估计，到2026年，随着云计算和企业安全举措遵守不断扩大的数据隐私法规，该市场将达到540亿美元。

虽然谷歌云和Fortanix等其他供应商也提供自己的机密计算解决方案，并对使用中的数据进行加密，并且前者提供了自己的保密虚拟机，但英特尔正在试图通过使用软件证明来将自己区别于其他供应商。

英特尔将提供VM和应用程序隔离的机密计算解决方案的组合，以及与Microsoft Azure、Google Cloud、阿里云和IBM云等供应商兼容的信任验证服务相结合，这将使其有可能成为市场上的权威供应商。

02

02