IBM

談到伺服器安全性,擁有大型主機系統、Power處理器平臺、雲端服務,以及多種IT系統軟體的IBM,經過近10年發展,在自家產品與服務,陸續加入強化資料加密與工作負載隔離,實現機密運算與零信任架構。

在大型主機提供信任執行環境保護

事實上,若單就System Z大型主機而言,可追溯到2012年發表的zEnterprise EC12,就已經開始主打這樣的特色,後續推出的z13與LinuxONE(2015年)、z14與LinuxONE Emperor II(2017年)、Z15與LinuxONE III(2019年)都不斷強化資料與應用程式加密保護。

到了2020年4月,IBM發表了Secure Execution for Linux的硬體安全技術,內建在Z15與LinuxONE III這兩種系統,針對個別工作負載,提供可延展的隔離機制,防護外部攻擊與內部威脅(insider threats),而有了這樣的機制,無論是將Z與LinuxONE部署在內部網路或混合雲環境,當中所執行的應用程式工作負載,均可獲得保護與隔離。具體而言,Secure Execution for Linux主要是透過硬體型態信任執行環境(TEE)的實作,提供工作負載隔離與強化的存取限制,以達到保護資料的效果。

【IBM機密運算兩大技術】上圖的架構是IBM Secure Execution for Linux,採用的是大型主機的硬體安全防護技術,下圖是IBM Secure Service Container,採用的是軟體型態的資安應用設備,主要是經由Hyper Protect Services系列產品來提供。(圖片來源/IBM)

針對自家公有雲,提供資料加密,以及伺服器與容器隔離

針對公有雲服務的環境,該公司在2018年3月推出了IBM Cloud Hyper Protect系列服務,他們希望將Z大型主機系統提供的資料保護,帶到IBM公有雲服務,能使開發者可以在運用記憶體內加密、傳輸加密、儲存加密的資料保護技術之下,進行應用程式的組建、部署、代管,抵禦內部威脅。

金鑰管理

Hyper Protect Crypto Services是基於公有雲的硬體加密模組(HSM)服務,開發者可藉此將資料加密與金鑰管理,引入他們的應用程式,並且透過IBM Z加密硬體設備來支援安全金鑰維運作業,以及隨機數字產生。相較於其他公有雲業者,IBM Cloud這項服務內建的加密技術是通過FIPS140-驗證,而且是由公有雲業者提供,IBM表示,它同時也是IBM Enterprise Blockchain Platform解決方案的後端。到了2019年3月底,IBM宣布這項服務正式上線。

基本上,Hyper Protect Crypto Services提供專屬的金鑰管理,以及基於雲端架構而提供硬體安全模組代管服務,適合於想要進一步控管資料加密金鑰,以及硬體安全模組的用戶。

而且,Crypto Services支援自留金鑰(Keep Your Own Key,KYOK),因此,在這套服務當中,能由一個專屬、由用戶控制的HSM服務,來提供資料加密金鑰保護。而這套服務採用通過FIPS140-2第四級認證的設備。IBM還透露,這項服務是建置在IBM LinuxONE的技術基礎之上,能保證IBM Cloud的系統管理人員,無法存取用戶金鑰。用戶若想採行自帶金鑰(BYOK)的模式來保護資料儲存,可搭配2017年底推出的IBM Cloud Key Protect。

同年8月,Crypto Services代管雲端HSM,開始支援IBM實作的企業公鑰密碼學標準Enterprise PKCS#11(EP11),能讓應用程式整合加密處理,像是經由EP11的API來進行數位簽章與驗證,EP11程式庫會提供類似於標準PKCS#11的API介面。

到了2020年11月,Crypto Services開始支援有狀態版本的PKCS #11,用戶可將這項加密服務作為雲端HSM,以此支援TLS/SSL網路加密傳輸處理的卸載、資料庫加密,以及應用程式層級加密。

加密資料庫

Hyper Protect DBaaS是保護雲端原生資料庫服務的解決方案,像是MongoDB企業版,主要適用對象是因個資處理而受高度監控的產業。到了2019年6月,IBM宣布這項服務正式上線,提供MongoDB與PostgreSQL等兩種資料庫。

工作負載防護

針對有法規顧慮的企業,IBM推出了Hyper Protect Virtual Servers,在2019年12月上線,內建工作負載隔離、竄改防護(預防特權使用者擅自存取)、資料傳輸加密、靜態資料加密等功能。

關於如何保護正在使用的資料(data-in-use),在2018年11月,他們宣布將推出基於Fortanix公司技術而成的服務,名為IBM Cloud Data Shield,主要的應用場景,是執行在雲端容器服務平臺IBM Cloud Kubernetes Service的工作負載。

這當中將會借助英特爾發展的SGX技術,讓用戶能在CPU強化的安全區(enclaves)執行程式碼與資料。基本上,這個安全區是可信的記憶體區域範圍,在此執行的應用程式,關鍵的層面都會受到保護,維持程式與資料的機密性。

IBM Cloud Data Shield提供整合既有組建流程的DevOps工具,以便將容器映像轉換到英特爾SGX執行,過程中僅需少量程式碼異動。由於這項服務是執行在IBM Cloud Kubernetes Service之上,可為敏感的工作負載,提供更大延展性與高可用性。

到了2020年4月,IBM Cloud Data Shield正式上線,針對執行在IBM Cloud Kubernetes Service,以及紅帽OpenShift的容器化工作負載,提供執行時期保護,確保使用中的資料安全。

同時,這項服務是以Helm的chart套件形式提供,用戶可整合在DevOps工具鏈裡面,即可順利將既有的容器轉換成受到加密保護的執行時期副本,而且搭配單一的API呼叫。此外,它可透過Enclave Manager簽署的憑證來散布證明報告,促成輕鬆的見證處理。

在英特爾SGX的支援上,IBM Cloud Data Shield先前可涵蓋的程式語言是C與C++,後續也延伸至Python與Java。

 

IBM Cloud Data Shield是底層不依賴大型主機的產品,搭配支援英特爾SGX的伺服器平臺,而且系統軟體也不是IBM開發,而是來自另一家專攻機密運算的廠商Fortanix,能保護執行在Kubernetes或OpenShift的工作負載,避免正在使用中的資料遭偷窺或竄改。(圖片來源/IBM)

與AMD展開合作,發展虛擬機器與容器加密應用

當IBM持續在自家公有雲服務環境,研發、擴增基於硬體的各種機密運算應用,對於紅帽OpenShift、Kubernetes等容器即服務平臺,以及KubeVirt、Kata Containers工作負載虛擬化平臺,也持續探索將虛擬機器加密套用進去的方式。

而在2020年11月,IBM與AMD共同宣布,將針對雲端服務領域,合作開發進階的機密運算應用,雙方預計會基於開原碼軟體、開放標準,以及開放系統架構,推動混合雲環境的機密運算技術發展,並針對高效能運算,以及承擔企業關鍵業務的虛擬化、加密等應用範疇,支援多種加速技術。

這項合作運用的硬體架構,主要是AMD伺服器處理器平臺EPYC系列,內建安全加密虛擬化(SEV)技術,可針對用戶執行的應用程式提供保護,預防擅自存取機密資訊的惡意行為──AMD SEV加密機制會在虛擬機器內部,將正在處理的資料遮蔽起來,不讓虛擬機器/執行個體以外的任何軟體,包含Hypervisor,直接檢視當中的資料。

【IBM Cloud機密運算服務】Hyper Protect Services是由IBM Cloud提供的解決方案,使用時,需部署至LinuxONE大型主機,目前這系列包含三大產品:加密服務Crypto Services、資料庫即服務DBaaS、伺服器虛擬化服務Virtual Servers。(圖片來源/IBM)


熱門新聞

Advertisement