【機密運算解決方案巡禮：IBM】多管齊下發展機密運算

在大型主機提供信任執行環境保護
事實上，若單就System Z大型主機而言，可追溯到2012年發表的zEnterprise EC12，就已經開始主打這樣的特色，後續推出的z13與LinuxONE（2015年）、z14與LinuxONE Emperor II（2017年）、Z15與LinuxONE III（2019年）都不斷強化資料與應用程式加密保護。
到了2020年4月，IBM發表了Secure Execution for Linux的硬體安全技術，內建在Z15與LinuxONE III這兩種系統，針對個別工作負載，提供可延展的隔離機制，防護外部攻擊與內部威脅（insider threats），而有了這樣的機制，無論是將Z與LinuxONE部署在內部網路或混合雲環境，當中所執行的應用程式工作負載，均可獲得保護與隔離。具體而言，Secure Execution for Linux主要是透過硬體型態信任執行環境（TEE）的實作，提供工作負載隔離與強化的存取限制，以達到保護資料的效果。
【IBM機密運算兩大技術】上圖的架構是IBM Secure Execution for Linux，採用的是大型主機的硬體安全防護技術，下圖是IBM Secure Service Container，採用的是軟體型態的資安應用設備，主要是經由Hyper Protect Services系列產品來提供。（圖片來源／IBM）
針對自家公有雲，提供資料加密，以及伺服器與容器隔離
金鑰管理
Hyper Protect Crypto Services是基於公有雲的硬體加密模組（HSM）服務，開發者可藉此將資料加密與金鑰管理，引入他們的應用程式，並且透過IBM Z加密硬體設備來支援安全金鑰維運作業，以及隨機數字產生。相較於其他公有雲業者，IBM Cloud這項服務內建的加密技術是通過FIPS140-驗證，而且是由公有雲業者提供，IBM表示，它同時也是IBM Enterprise Blockchain Platform解決方案的後端。到了2019年3月底，IBM宣布這項服務正式上線。
基本上，Hyper Protect Crypto Services提供專屬的金鑰管理，以及基於雲端架構而提供硬體安全模組代管服務，適合於想要進一步控管資料加密金鑰，以及硬體安全模組的用戶。
而且，Crypto Services支援自留金鑰（Keep Your Own Key，KYOK），因此，在這套服務當中，能由一個專屬、由用戶控制的HSM服務，來提供資料加密金鑰保護。而這套服務採用通過FIPS140-2第四級認證的設備。IBM還透露，這項服務是建置在IBM LinuxONE的技術基礎之上，能保證IBM Cloud的系統管理人員，無法存取用戶金鑰。用戶若想採行自帶金鑰（BYOK）的模式來保護資料儲存，可搭配2017年底推出的IBM Cloud Key Protect。
同年8月，Crypto Services代管雲端HSM，開始支援IBM實作的企業公鑰密碼學標準Enterprise PKCS#11（EP11），能讓應用程式整合加密處理，像是經由EP11的API來進行數位簽章與驗證，EP11程式庫會提供類似於標準PKCS#11的API介面。
到了2020年11月，Crypto Services開始支援有狀態版本的PKCS #11，用戶可將這項加密服務作為雲端HSM，以此支援TLS/SSL網路加密傳輸處理的卸載、資料庫加密，以及應用程式層級加密。

Related Keywords

,Products Service ,Economic Development ,Intel ,Step Control Manager ,Start Support ,Support Internet ,Enterprise Professional Edition ,Red Hat ,Support Intel ,Category Support ,ப்ராடக்ட்ஸ் சேவை ,பொருளாதார வளர்ச்சி ,இன்டெல் ,ஆதரவு இணையதளம் ,சிவப்பு தொப்பி ,ஆதரவு இன்டெல் ,