Blogs

(文章於2021年7月2日在香港經濟日報網站刊登)

數據安全，是金融和電訊等需要處理敏感資料的行業，採用公共雲及混合雲服務的一個主要障礙。一般雲端服務商可以為處於靜止儲存狀態的企業數據，進行高強度加密，盡量減低被破解的機率；但是在運算和處理前的一瞬間，這些數據還是必須被解密。隨著科技日新月異，這種以往看來安全的狀態越來越可能被不法分子有機可乘。

以近年愈來愈流行的混合雲來說，企業數據是在其中遍佈世界各地的不同數據中心、網絡、雲端服務間被頻密傳送和處理。如果黑客有辦法截取正被處理中的已解密數據包，企業機密就變成不設防。近年逐漸從實驗項目轉化為實際科技的機密運算（Confidential Computing），就成為混合雲對抗這種威脅的強大屏障。

加密鑰匙限制存取
機密運算是在中央處理器內建立一個可信執行環境（Trusted Executable Environment，簡稱 TEE）來進行運算，杜絕非法截取數據的可能。TEE 有加密鑰匙及機制保護，唯有得到認可的應用程式碼才可存取加密鑰匙；如果有不明應用程式碼試圖存取加密鑰匙，TEE就會即時取消運算，位於記憶體和儲存裝置內的目標數據將安然無恙。

2019 年 IBM、AMD、Google、Intel、Microsoft、NVidia、Oracle、阿里巴巴、百度等公司共同創立機密運算聯盟，目標是制訂機密運算的業界標準，以及推動開源的機密運算工具。但其實這種科技已經醞釀多時，例如 IBM 就投資研發了超過十年，現在該公司提供的已是第四代的技術，能在客戶的雲端環境中進行端對端的機密運算。

敏感行業進軍雲端受惠
文首的金融業和電訊業為了提升競爭力，近年來積極把數據平台從在地設施過渡到混合雲，機密運算為他們打下了一支強心針。例如當他們在雲端分析客戶資料以擬定商業策略時，再也不用擔心黑客也會同時一覽無遺。

今年年初，位於瑞士的去中央化金融（DeFi）資訊平台 DIA（Decentralised Information Asset）就把營運轉移到 IBM Cloud 並採用該公司的 IBM Cloud Hyper Protect Services 。機密運算功能大大減低了該平台被攻擊的風險，保障其服務客戶的能力。

值得一提的是，除了數據以外，機密運算也能保護商業邏輯、分析方法、機器學習算法以至整個應用程式等企業知識財產，因為 TEE 就是會把未獲授權的訪客拒諸門外。所以這種特點讓企業能夠和業務夥伴透過各種雲端方案進行合作，卻又不會洩露機密的數據和資產。

安全是雲端時代的基礎，隨著企業把越來越多核心數據轉移到雲端平台上處理，相關的安全風險也相應上升。機密運算可說是一項適時出現的科技，讓眾多企業能在符合業界安全規範下更放心探索數碼商機。