发布于 : Oct 28, 2020
不在本期内容中
这一条目不在当前版本的技术雷达中。如果它出现在最近几期中,那么它很有可能仍然具有相关参考价值。如果这一条目出现在更早的雷达中,那么它很有可能已经不再具有相关性,我们的评估将不再适用于当下。很遗憾我们没有足够的带宽来持续评估以往的雷达内容。
了解更多
Oct 2020
Assess
在了解它将对你的企业产生什么影响的前提下值得探索
安全区域 ,也称为可信执行环境(TEE),是指一种隔离具有较高安全级别的环境(处理器,内存和存储),并且仅提供与其周围的不受信任执行上下文进行有限信息交换的技术。例如,硬件和系统级别的安全区域可以创建并存储私钥,并使用它们执行如加密数据或验证签名等操作,而无需私钥离开安全区域或将其加载到不受信任的应用程序内存中。安全区域提供了一系列有限的指令来执行受信任的操作,并隔离不受信任的应用上下文。
长久以来,这项技术一直得到许多硬件和系统供应商(包括 Apple)的支持,并且已有开发人员在物联网和边缘应用中使用该技术。然而,直到最近它才在企业和基于云的应用中获得关注。云提供商已经开始引入机密计算功能,如基于硬件的安全区域:Azure 机密计算基础架构允许启用 TEE 的虚拟机,并通过 Open Enclave SDK 开源库进行访问以执行受信操作。同样地,仍处于测试阶段的 GCP 机密虚拟机和 Compute Engine 允许使用在内存中进行数据加密的虚拟机,AWS Nitro Enclaves 紧随其后,即将发布其预览版。随着基于云的安全区域和机密计算的引入,我们现在可以在数据保护的两个支柱:存储的数据保护,传输的数据保护上添加第三个支柱:内存的数据保护。
尽管仍处于企业安全区域的初级阶段,我们还是建议你考虑此技术,同时了解已知可能危及底层硬件提供商的安全区域漏洞。
