內(nèi)存的安全功能并不是新概念， 但隨著網(wǎng)絡(luò)連接成為人們?nèi)粘Ｉ钪斜夭豢缮俚囊徊糠?，再加上大流行引發(fā)的遠程工作讓需求激增，讓數(shù)據(jù)安全性變得更加重要，也更具挑戰(zhàn)性。在包括5G在內(nèi)的通信基礎(chǔ)設(shè)施共享數(shù)據(jù)的新應(yīng)用案例中，有關(guān)于網(wǎng)絡(luò)數(shù)據(jù)安全的“挑戰(zhàn)”也被放大。mbEesmc

然而，安全性功能會為內(nèi)存設(shè)計增添復(fù)雜度。mbEesmc

甚至是在邊緣運算、物聯(lián)網(wǎng)(IoT)、連網(wǎng)車輛等市場大幅成長之前，內(nèi)存中的安全功能就已經(jīng)激增。例如EEPROM是信用卡、SIM卡和智能鑰匙（門禁）系統(tǒng)的首選，而SD卡中的“S”代表“安全”，還有以閃存為基礎(chǔ)的固態(tài)硬盤(SSD)，在設(shè)計步驟開始就已默認(rèn)將加密功能包含在內(nèi)。mbEesmc

安全已經(jīng)穩(wěn)定地嵌入到分布在整個計算系統(tǒng)和網(wǎng)絡(luò)環(huán)境中的內(nèi)存和網(wǎng)絡(luò)設(shè)備中。但是這些基于內(nèi)存的安全功能仍然必須考慮人為錯誤。信息安全專業(yè)人員必須處理用戶打開虛假附件或路由器被錯誤配置的后果。mbEesmc

同樣，安全內(nèi)存特性的好處也不能完全實現(xiàn)，除非正確配置，并且在包含軟件的系統(tǒng)中協(xié)調(diào)一致。mbEesmc

簡單來說，就像是雙SoCs——安全操作中心和芯片上的系統(tǒng)——正在融合。像是Rambus等公司提供的產(chǎn)品旨在保護每個連接，以響應(yīng)云計算和邊緣計算中增加的服務(wù)器連接帶寬需求。與此同時，英飛凌科技已經(jīng)擴展了其Cypress半導(dǎo)體Semper或閃存，以反映每個系統(tǒng)連接的必然性——黑客會篡改閃存設(shè)備的內(nèi)容。mbEesmc

mbEesmc

Infineon旗下的Semper NOR閃存扮演硬件信任根的角色，同時也執(zhí)行診斷與數(shù)據(jù)校正，以確保功能安全性。(數(shù)據(jù)源：Infineon)mbEesmc

竄改可能會影響任何數(shù)量的不同運算平臺，尤其是內(nèi)存量更大的應(yīng)用程序是最吸引黑客的，包括但不限于自動駕駛車輛；與此同時，5G網(wǎng)絡(luò)也讓更多的工業(yè)、醫(yī)療和物聯(lián)網(wǎng)場景興起更多應(yīng)用，因此信息安全更受重視。因為安全性功能不僅需要集成，還需要在許多 生命周期不同的設(shè)備內(nèi)進行管理，其中一些設(shè)備的嵌入內(nèi)存可能會持續(xù)10年。mbEesmc

市場分析師Thomas Coughlin表示，加密密鑰管理對于確保系統(tǒng)安全仍然至關(guān)重要。隨著非易失性存儲技術(shù)的激增，嵌入式系統(tǒng)的安全性越來越重要。這是因為即使設(shè)備關(guān)機，數(shù)據(jù)也會持續(xù)存在。Coughlin指出， 挑戰(zhàn)并不在于增加多少安全功能。例如，SSD上的數(shù)據(jù)可以被加密。“最大的問題是用戶是否容易使用這些功能，因為通常最薄弱的環(huán)節(jié)是人的環(huán)節(jié)。”mbEesmc

因為生物辨識功能取代了傳統(tǒng)的密碼，智能手機成為一種身分驗證代理；但這種情境開啟了未加密數(shù)據(jù)意外被曝光的可能性。Coughlin指出，風(fēng)險在于實作上的缺陷或是復(fù)雜度：“讓安全性簡單是關(guān)鍵，這比加密數(shù)據(jù)并將之放進硬件還要重要。”mbEesmc

SSD與內(nèi)存供貨商Virtium營銷副總裁Scott Phillips表示，加密SSD效果有限，需要多層、受管理的方法。他指出，像是Trusted Computing Group的Opal規(guī)格，能達到BIOS等級的開機前身份驗證(pre-boot authentication)、配置與集中化管理等在防堵黑客方面非常關(guān)鍵的功能；“但就算是有相當(dāng)規(guī)模的公司，也無法實現(xiàn)全面、完善的安全性。”mbEesmc

隨著5G加速發(fā)展，人們正在努力實現(xiàn)橫跨整個數(shù)據(jù)中心以及數(shù)據(jù)中心之間的數(shù)據(jù)路徑保護；然而要充分發(fā)揮硬件安全性的優(yōu)勢，挑戰(zhàn)仍然存在。mbEesmc

集成需求

在工業(yè)應(yīng)用市場，整合需要集成的不同的系統(tǒng)；與此同時，亞馬遜網(wǎng)絡(luò)服務(wù)(Amazon Web Services)和微軟Azure (Microsoft Azure)等超級巨頭也在推動數(shù)據(jù)安全。不過Phillips指出，這些防御措施必須一直實現(xiàn)到最終用戶。mbEesmc

盡管有越來越多的標(biāo)準(zhǔn)和要求，但安全方法的兼容性問題仍然存在。供應(yīng)商仍然試圖將自己定位為安全產(chǎn)品和服務(wù)的領(lǐng)導(dǎo)者，Phillips說。mbEesmc

“黑客總是能搶先一步知道，”他補充道。“他們知道所有那些小漏洞在哪里。這些是他們要檢查的東西。需要一個非常集中、非常細致的IT人員或部門來檢查并堵住所有這些漏洞。”mbEesmc

將安全性嵌入存儲設(shè)備而不是將其栓在存儲設(shè)備上的想法與軟件方法并無不同。“DevSecOp”(編按：Development、Security與Operation三個字的結(jié)合)基本理念，是關(guān)于將安全性與隱私保護成為應(yīng)用開發(fā)過程中不可或缺的一部份。mbEesmc

一種被稱為“機密計算”的新興框架旨在通過在基于硬件的可信執(zhí)行環(huán)境(TEE)中隔離計算來保護使用中的數(shù)據(jù)。在處理數(shù)據(jù)時，數(shù)據(jù)在內(nèi)存中加密，在CPU之外的其他地方加密。mbEesmc

mbEesmc

Intel的SGX能實現(xiàn)可信任運算環(huán)境，也就是主存儲器的一個安全區(qū)域，確保加載之編碼與數(shù)據(jù)在機密與完整性上受到保護。mbEesmc

軟硬件業(yè)者都在推動“機密計算”，包括最近宣布將之運用于容器工作負載(Container Workload)的Google；Intel也為云端服務(wù)供貨商如Microsoft Azure通過Intel Software Guard Extensions實現(xiàn)TEE。mbEesmc

“機密計算”需要共享安全責(zé)任。 然而 英特爾產(chǎn)品保證和安全架構(gòu)高級首席工程師Simon Johnson表示，人類仍然是最薄弱的一環(huán)。mbEesmc

Johnson說，平臺提供商不應(yīng)該能夠看到數(shù)據(jù)。安全性的第一步，其實就是“盡可能遠離你的東西。”mbEesmc

Virtium的Philips指出，易用性一直是提高安全性的關(guān)鍵，因此實現(xiàn)“一觸即發(fā)“的內(nèi)存加密會是一個目標(biāo)：“全面性的安全將來自于其上的所有附加功能；”他指出，這不僅是加密內(nèi)存，還要保證完整的數(shù)據(jù)隔離以確保安全環(huán)境，“他補充說，“當(dāng)數(shù)據(jù)在使用中，你必須要提供一個訪問控制層，并且能證明你正在使用該軟件，數(shù)據(jù)是在一個特定區(qū)域內(nèi)；所有這些是逐步構(gòu)建的。”mbEesmc

原文發(fā)布于ESM姊妹網(wǎng)站EE Times 編譯：Judith Cheng 責(zé)編：Elaine Lin mbEesmc

（參考原文：Memory Only a Piece of the Security Puzzle，By Gary Hilson ）mbEesmc