在當下雲計算和資料爆發的時代,企業、組織、個人都會面臨這樣一個問題:一方面希望自己的資料上雲享受資料合作的紅利或者服務的便利,一方面又對雲計算提供商或服務提供方如何使用和保護自己的資料心存擔憂。相對于個人終端或企業内部裝置上的本地資料保護,雲端資料因其流動性和使用方轉移,涉及的信任和保護問題明顯更加複雜。
基于可信執行環境(TEE)的安全計算(國外常稱為機密計算)可以保證資料使用時安全,結合資料網絡傳輸安全、資料存儲安全,我們第一次驚喜地看到了資料全生命周期安全的可能性,看到了技術替代商業承諾提升資料安全和使用者信任的希望。是以雲端TEE這一新興技術一經推出,立馬引起了學術界和工業界的廣泛關注。
使用者隐私保護和合規一直是螞蟻集團的第一優先級任務。SOFAEnclave 安全計算平台正是螞蟻敏銳發覺和跟随 TEE 技術趨勢,很早就投入研發的安全計算産品。最近 SOFAEnclave 通過基于中國通信标準化協會(CCSA)《基于可信執行環境的安全計算系統技術架構》行業标準(報批稿)的全部測試項,成為首個通過該标準的安全計算産品。從啟動測試計劃到最終通過所有測試項目,整個标準測試過程曆時1個月左右,最終獲得現場評審驗收專家的認可。本文希望跟讀者分享一些對标準的了解和測試經驗,供大家參考。
TEE 技術方案百花齊放,信通院行業标準應時而生
按照 Gartner 2020 年雲端安全技術預測,基于 TEE 的安全計算還處于較早期的自由發展階段。從最開始的 ARM TrustZone,到 Intel SGX、AMD SEV、Keystone,再到即将推出的 Intel TDX、ARM CCA,還有一些其他類似 AWS Nitro Enclave 虛拟化方案等等,百花齊放的背後伴随的是差異化發展。這些 TEE 方案在體系結構、隔離模式、接口支援和可信模型方面都存在很大差別。
是以,我們希望整個業界有統一的關于 TEE 的參考規範,指導行業有序發展。《基于可信執行環境的安全計算系統技術架構》就是在這個背景下,由中國資訊通信研究院、中國移動牽頭,螞蟻集團發起,華為、騰訊、百度、光之樹、Oppo、360、高通、大唐電信、中國電信、如家首旅、上海交大等諸多行業領軍的産學研機構共同參與的安全計算行業标準。标準的參與陣容非常強大,權威性毋庸置疑。
TEE 标準的技術要求與指導意義
首先,标準的推出可以幫助我們了解 TEE 技術的本質,有的放矢地進行 TEE 技術選型。 我們面對衆多的 TEE 技術,如何界定其安全性?如何選擇合适的 TEE 技術産品?标準被及時推出,幫助我們撥開烏雲見晴天。标準中提出的一些 TEE 基本技術要求總結如下:
- 硬體信任根:一個真正技術中立和可信的 TEE 方案一定是基于不可篡改和冒充的硬體信任根,進而建構軟硬體一體的可信執行環境。
- 隔離性:TEE 技術一個最基本的機密性保護方式就是隔離可信執行環境和非可信執行環境。另外,大部分 TEE 技術都提供記憶體加密引擎保護運作中資料和代碼的機密性。
- 完整性:TEE 技術方案通常提供遠端證明等手段確定可信應用的完整性。
- 可用性:一個實用的 TEE 技術方案應該在生産環境性能損耗、額外成本、實施複雜度方面都是可接受的。
其次,标準的另一個重要意義在于通過業界共識指導我們設計一個真正安全的 TEE 安全計算系統。标準中給出了安全計算系統的定義和安全計算系統設計參考技術架構。同時也從多個方面全面完整地定義了總計 74 項基于 TEE 的安全計算系統的各項要求,詳細情況如下圖:
其中:
- 功能要求:包括安全系統中各軟體層級的功能要求,而且特别提出了偏實際生産的要求,比如叢集管理和監控運維相關要求。這些要求即展現了對系統的實用性的導向,也融合了安全設計貫穿整個軟體生命周期的理念。
- 隔離性要求:規範了對 TEE 技術特性本身的要求。
- 性能要求:對TEE技術規定了一定門檻。
- 相容性及可用性要求:對系統設計的相容性、健壯性提出一定要求。
- 通用安全要求及資料安全要求:展現了 TEE 安全計算系統的目标是安全計算,而安全計算的本質是保證資料在計算時的安全。
SOFAEnclave 安全計算平台成為首個通過信通院安全計算行業标準測試的産品
SOFAEnclave 安全計算平台的設計初衷就是服務螞蟻内部大規範叢集化業務使用場景,是一款面向生産環境的産品。同時 SOFAEncalve 也被期望用到聯合風控、多方資料協作、區塊鍊可信計算、敏感資料保護等多技術領域和業務場景。如何設計好這樣一個偏底層、覆寫廣的安全計算系統,我們的設計思考過程和上述标準中的要求是基本相符的。
此次參加測試的 SOFAEnclave 安全計算平台包含:TEE 基礎設施部分(SGX 伺服器和我們自研的基于虛拟化技術的 HyperEnclave TEE 方案)、用于可信應用開發的 Occlum Enclave OS(目前已經開源并被業界廣泛使用)、用于應用釋出和運維的 KubeTEE 安全計算叢集(包括網絡代理,密鑰管理AECS服務等基礎服務),基本上從底層TEE技術要求、到應用開發模式、到系統運維等多個次元驗證了 SOFAEncave 的安全性和完備性。
因為 SOFAEnclave 安全計算平台本身元件多、覆寫全,考慮到測試用例編寫、環境搭建、實際測試執行的便利性等因素,在本次測試實踐中,我們還進行了完備的測試設計。我們對所有測試項目進行重新分類,調整測試順序,編排相應測試環境,充分的準備極大地加速了現場驗收的進度。
笃定前行:SOFAEnclave 通過标準測試後的思考
螞蟻集團作為标準發起方和 TEE 技術的使用方,一直積極參與标準的制定,貢獻自己的實踐經驗,SOFAEnclave 安全計算平台一直處在标準遵循和回報标準的正向循環中。參加此次标準測試,對 SOFAEnclave 既是一次水到渠成被認可的證明,也是一次自我審視再學習的過程。
通過标準測試,為 SOFAEnclave 後續支援内部業務和配合合規監管提供了更好的基礎。标準的權威性也為 SOFAEnclave 以後的對外交流合作提供了信任基礎和共同語言。我們也希望更多的業界夥伴通過對标準的貢獻或者測試來不斷完善行業生态建設。
當然,标準隻是現階段最好的指導規範,不能表示行業的成熟,也不會束縛技術的持續突破,TEE 技術依然方興未艾,相關的多方安全計算、聯邦學習、差分隐私等等技術也在火熱發展中,希望 TEE 技術可以和整個雲計算安全能協同發展,加速資料安全基建,實作最終的資料資源化美好願景。SOFAEnclave 将繼續基于螞蟻技術實踐,持續關注 TEE 技術,為業界發展貢獻力量,我們笃定前行,與大家共勉。