全球Arm架构芯片五年出货1000亿片，Arm凭啥能确保佢们安全？

转载：本文来自腾讯科技，审校：金鹿，转载经授权发布。

Arm首席架构师理查德·格里森斯韦特(Richard Grisenthwaite)在新闻发布会上表示：“Arm机密计算架构将引入动态创建领域嘅概念，喺一个独立嘅计算世界度，普通程序可以使用佢，而唔系在我哋今日嘅不安全或安全世界中。领域使用‌少量嘅信任和可测试管理软件，呢啲软件从本质上同操作系统分离。”

Arm嘅”机密计算架构“旨在使计算变得更加安全

4月2日消息，英国芯片设计公司Arm嘅主要业务是将其设计授权畀第啲公司，其客户在过去五年嘅全球出货量超过1000亿片。Arm本周还推出‌Armv9芯片平台，这是十年来其架构嘅首次重大升级。那么，Arm到底凭借乜嘢确保呢啲芯片和架构安全？该公司嘅杀手锏就是所谓嘅“机密计算”（Confidential Computing），这是一种基于硬件嘅安全解决方案。

在Arm最新发布会上，其首席执行官西蒙·塞加斯(Simon Segars)表示，Armv9嘅路线图引入‌Arm机密计算架构(CCA)。佢说，机密计算通过在基于硬件嘅安全环境中执行计算，保护部分代码和数据在使用时不被访问或修改，甚至不受特权软件嘅影响。更多细节将随住时间嘅推移而公布。

处理器上通常都有被称为“安全飞地”嘅地方，这可以在成个系统中创建更好嘅安全性。通常情况下，软件嘅模型本质上需要信任操作系统和运行软件嘅虚拟机管理程序，并且允许拥有高层权限嘅软件查睇低权限软件嘅执行情况。但是，如果操作系统或虚拟机管理程序受到威胁，这将带来风险。

Arm首席执行官西蒙·塞加斯

CCA引入‌动态创建嘅“领域”呢个新概念，但系以将其视为对操作系统或系统管理程序完全不透明嘅安全容器化执行环境。管理程序仍将存在，但只负责调度和资源分配。相反，“领域”将由一个名为领域管理器嘅新实体进行管理，该实体应该是一段新代码，大小大约是虚拟机管理程序嘅十分之一。

Arm首席架构师理查德·格里森斯韦特(Richard Grisenthwaite)在新闻发布会上表示：“Arm机密计算架构将引入动态创建领域嘅概念，喺一个独立嘅计算世界度，普通程序可以使用佢，而唔系在我哋今日嘅不安全或安全世界中。领域使用‌少量嘅信任和可测试管理软件，呢啲软件从本质上同操作系统分离。”

塞加斯说，领域好像软件容器，佢们以某种方式隔离代码，但有硬件支持。

Arm为好多设备或服务提供动力支持

红帽（Red Hat）首席安全架构师迈克·伯塞尔(Mike Bursell)表示：“人正喺度意识到呢一点好重要。即密计算是指保护您嘅应用程序、您嘅工作负载不受受危害或恶意嘅主机或外部黑客嘅攻击。我哋认为，使用硬件控制保护您嘅工作负载安全就是机密计算嘅重要作用。人意识到，有啲工作负载佢们不钟意放到云端或者不够安全，但系能系因为佢们嘅盒子在物理上并唔安全。”

领域可以在使用、静止和传输过程中保护商业敏感数据和代码不受系统其余部分嘅影响。喺最近对企业高管嘅一项调查度，超过90%嘅受访者认为，如果有机密计算支持，安全成本可以降低，使佢们能够大幅增加对工程创新嘅投资。总体而言，应用程序运行所需嘅信任链可能会受到更多限制，从而在系统嘅一部分受到损害时保护成个系统安全。

微软Azure Edge and Platforms首席技术官亨利·桑德斯(Henry Sanders)在一份声明中表示，“边缘云计算”嘅复杂性意味住，一刀切嘅解决方案唔会起作用。佢认为，硬件和软件同机密计算架构之间嘅更多协同对于促进创新至关重要。

Tirias Research嘅分析师凯文·克雷韦尔(Kevin Krewell)认为：“Arm正喺度将自己定位为一个高性能和高度安全嘅平台，以加强同x86嘅竞争，并保持在RISC-V嘅领先地位。System Ready计划旨在提高基于Arm架构芯片嘅标准化，以简化软件兼容性。Arm仲喺度为最终同英伟达合并做准备，其Mali图形增加‌反映英伟达RTX系列嘅新功能。”

Moor Insights&Strategy嘅分析师帕特里克·穆尔黑德(Patrick Moorhead)话，机密计算是数据中心安全领域嘅下一个前沿，链中嘅每一个环节相互之间都系“零信任”。Armv9集成‌机密计算嘅好多元素，因此佢认为领域功能将系等其显得同众不同嘅地方。

恩智浦执行副总裁兼边缘计算总经理罗恩·马蒂诺(Ron Martino)表示：“从安全嘅角度来睇，呢一切都系为‌抵御好多不同嘅攻击场景。这包括数据和软件知识产权，涉及多个实体，有啲是可信嘅，有啲是不可信嘅。佢还包括确保免受物理和远程攻击。因此，当你考虑成个计算概念和部署设备时，正系呢种边缘云计算概念在应用机密计算。”

谷歌负责安卓安全同隐私嘅副总裁戴夫·克莱德马赫(Dave Kleidermacher)说，机密计算既适用于云计算，也适用于移动设备。佢说，云端机密计算嘅用途之一是阻止欺诈：可以从支付链中嘅每个域提取数据，呢啲数据可以以保护隐私嘅方式指向欺诈证据。

致力于云计算安全和隐私嘅Fortanix公司代表理查德·塞尔(Richard Searle)表示，Linux基金会始终在努力向科技界普及有关机密计算嘅知识，但仍存在好多困惑。佢讲：“仲有好多工作要做，毕竟这是一个新嘅市场。但像咁样嘅活动可以帮助我哋认识这项新技术能畀数据和应用程序安全带来乜嘢积极影响。”