申请加入数据安全共同体计划,请在本公众号回复“申请表”获取下载链接
随着“数据作为新型生产要素”理念的推广和数据要素市场化的发展,如何保障数据共享、数据开放、数据交易的数据资产流通平台的安全建设,构建数据可信流通交易环境成为一大挑战。隐私计算技术作为数据安全领域促进数据要素安全有序流通的有效抓手,如何帮助用户业务简单、快捷、轻量且安全的接入是实现技术实践推广的关键。
机密计算平台(Confidential Computing Platform,CCP)是腾讯云推出的一款基于可信执行环境(TEE)打造的安全计算基础平台,旨在为用户提供免改造的、安全自洽的机密计算一站式服务,助力企业实现敏感数据的可用不可见,满足用户不同业务多场景下的安全需求。
腾讯云机密计算平台,助力企业HR团队“一站式”应对潜在数据泄漏风险
伴随着各行各业数字化转型的深入,企业和组织将集中面临更加复杂和全新的安全挑战,特别是HR团队持有并维护的人力、薪酬等机密数据,更是企业数据安全的重点保护对象。本次项目主要针对HR团队业务系统里大数据计算过程中存在的数据安全风险进行保障。
腾讯云认为,虽然加密技术保护了数据静态安全(At Rest)和传输安全(In Transit),但数据使用过程中(In Use)依然存在较大隐患:由于程序本身运行在明文的内存空间中,当攻击者拿到系统权限后,可以通过工具转储内存,分析应用进程空间从而拿到关键密钥,解密存储数据并窃取高价值情报。
依托可信硬件的机密计算是一种使用基于硬件的可信执行环境(TEE)进行计算,保护数据在使用中安全的技术,主要包括三个核心技术点:访问隔离、内存加密和远程证明。最终实现机密应用被“安全隔离”、应用及运行环境“可验证”、用户应用对云“不可见”。
基于对项目关键需求和业界主流技术的分析,腾讯安全从安全、功能和性能三个维度考虑,提出了一站式机密计算解决方案:通过机密计算平台(CCP),将租户的核心机密模块放入SGX飞地中运行,极大地缩小了租户应用的可信基(TCB),从而提升整体系统的安全性。在具体技术实现上包括了两方面:
机密计算平台通过LibOS技术将用户业务的应用程序或镜像直接转为可以在SGX飞地中运行的格式,从而实现用户业务到机密计算环境的免改造迁移。
基于Intel SGX的远程证明原语,结合机密计算平台的验证流程,实现了再SGX飞地中进程指纹的计算。通过在身份认证体系中增加SGX的进程指纹验证,使得身份认证服务可以验证目标的运行环境和进程逻辑,并确认SGX飞地已通过与远程证明逻辑,防止应用程序被攻击者篡改。
![数据安全星熠案例 | 企业HR机密信息的大数据隐私计算应用案例]( "数据安全“星熠”案例 | 企业HR机密信息的大数据隐私计算应用案例")
在本项目中,核心模块使用双向远程证明以确保完整性(Integrity),KMS密钥加密磁盘IO以实现机密性(Confidentiality)。基于机密计算平台的保护,在保留HR团队原有业务逻辑和使用流程的基础上,提升了身份认证系统的安全性,并满足即使在攻击者已获取系统Root权限的极端情况下,依然可以确保机密数据不被篡改或泄漏。
同时,腾讯云机密计算平台支持免改造迁移,实现了自动的远程证明和加密存储,极大地降低了用户的改造成本。除此之外,该方案也满足灵活部署需求,既支持大数据的YARN生态,也支持云原生的方式将机密镜像直接运行在容器环境中。
本项目作为腾讯云机密计算平台的标杆项目,将机密计算能力成功落地到保护企业机密数据信息场景,助力企业实现敏感数据的可用不可见,解决了用户业务系统所面临的潜在数据泄漏风险。同时具有可推广性,机密计算平台的免改造适配能力覆盖主流的开发语言和运行环境,能够广泛便捷的应用到各行业用户在机密数据保护的实践过程。
值得一提的是,腾讯云机密计算技术也被Gartner列入《2022中国网络安全技术成熟度曲线》,被认可为代表性厂商。未来,腾讯云将不断钻研技术,用心打磨产品,积极深耕行业,挖掘用户侧实际应用场景及需求,融合腾讯云产品生态和第三方服务商,为企业提供更简单易用、切实有效的数据安全解决方案,助力各行各业实现数字化升级。
数据安全共同体计划
(data security community)
“数据安全共同体计划”为了促进《数据安全法》《个人信息保护法》落地实施,推动数据开发利用和数据安全领域的技术推广和产业创新,致力于促进数据安全产业链各环节的交流与合作,推动数据安全政策、技术、人才多要素良性互动,构建数据安全产业生态共同体。
咨询电话:
曹京 15810981762
解伯延 18631643906
联系人邮箱:[email protected]
![数据安全星熠案例 | 企业HR机密信息的大数据隐私计算应用案例]( "数据安全“星熠”案例 | 企业HR机密信息的大数据隐私计算应用案例")
![数据安全星熠案例 | 企业HR机密信息的大数据隐私计算应用案例]( "数据安全“星熠”案例 | 企业HR机密信息的大数据隐私计算应用案例")
原文始发于微信公众号(数据安全共同体计划):数据安全“星熠”案例 | 企业HR机密信息的大数据隐私计算应用案例
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1615523.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论