在計算中，數據以三種狀態存在：傳輸、靜止和使用中。跨網絡傳輸的數據狀態是 “傳輸中”，保存在某種類型存儲中的數據狀態是 “靜止的”，正在處理的數據狀態是 “使用中”。

針對網絡和存儲設備的網絡威脅越來越多，隨著適用于傳輸和靜止數據保護手段的加強，攻擊者已將重點轉移到了使用中數據上。常見的攻擊包括內存抓取、CPU 旁道攻擊和植入惡意軟件。

機密計算(Confidential Computing，也譯作保密計算)是通過基于硬件的可信執行環境(TEE)對使用中的數據進行保護。TEE 被定義為提供一定級別的數據完整性、數據機密性和代碼完整性保證的環境。

安全策略必須考慮可能被入侵的所有層面。如果一層受到損害(例如正在使用的數據)，那么其他層(靜止數據，使用中的數據)可能會受到影響。機密計算正在彌補入侵者可能利用的最后一個 “漏洞”，并將大大加強系統的整體安全策略。

機密計算的興起

數十年來，盡管業界一直在努力通過多種安全策略來保護數據，但是機密計算是同類解決方案中的第一個，沒有其他替代方案。這是一種創新的方法，可以彌補數據保護策略中的潛在弱點。處理器和內存芯片設計的重大進步使標準處理芯片組可以內置更多功能，這推動了機密計算解決方案的興起和應用。

任何新技術剛進入市場時，通常都很復雜，但很快就被業界和特定領域的專家使用。機密計算仍處于早期應用的階段，缺乏標準的實現方法。不同的公司以不一樣的方式來實現它，這可能會使普通的安全IT專業人員感到困惑，但同時又令人興奮。

密鑰管理空間中可以找到一個很好的安全類比，它概述了類似的采用速度。在引入密鑰管理互操作性協議(KMIP)之前，部署的每個加密解決方案都需要集成到某種形式的轉悠加密密鑰管理器中。盡管最初這很復雜且令人困惑，但這最終能夠解決。

采用 KMIP 的當前密鑰管理解決方案現在易于實現和使用，并且價格更便宜。像密鑰管理和之前的許多其他技術一樣，機密計算技術的應用有望遵循類似的道路。

隨著機密計算市場的發展，我們將在未來三到五年內看到重大變化。最初，每個應用都可能會有不同的實現，這需要在芯片級別擁有自己的硬件以及對其進行管理的軟件。

在這段時間內，可以預期客戶需求將迫使芯片制造商實現機密計算的標準化，以便最終用戶擁有一種統一的保護使用中數據的方法。這也將迫使軟件行業快速創新，并改善機密計算的可管理性和兼容性，使其更容易適應現有的安全管理框架并變得更容易獲得。

如何進入機密計算空間

由于機密計算剛剛成為當下關注的焦點，因此IT安全專業人員應該研究為最關鍵的公司或政府應用程序部署 TEE 的方法，并明白他們可能必須處理多種不同的實現方式，具體取決于用于特定應用程序的硬件供應商。

例如，如果 TEE 在數據中心中運行，則管理將需要由硬件供應商提供。這些 TEE 使用硬件支持的技術(例如安全保護區)為該環境中的代碼執行和數據保護提供增強的安全保證。

基于硬件的飛地的示例包括可信平臺模塊(TPM)，英特爾的 Secure Guard 擴展(SGX)，ARM 的 Trustzone 和 AMD 的安全加密虛擬化(SEV)。但是，使用云的公司通常需要轉向由其云提供商托管服務的不同 TEE。其中包括使用英特爾 SGX 的 Azure 機密計算和 Google Cloud 機密計算。

雖然 HSM 可以利用機密計算的優勢，但它們仍然需要管理單獨的復雜且昂貴的硬件。基于軟件的密鑰管理器可以在提供 TEE 的任何硬件上運行，僅花費一小部分成本即可提供機密計算的價值，但都來自硬件解決方案的保護。

安全性是任何IT戰略的重中之重，而機密計算將是未來數月和數年中值得關注的新技術。