内存在安全中起着至关重要的作用

内存的安全功能并不新鲜，但由于大流行导致的远程工作激增，连接性的增强意味着保护数据更加关键，甚至更具挑战性。在包括 5G 在内的通信基础设施之间共享数据的新兴用例中，安全挑战被放大了。

同时，启用安全性会增加内存设计的复杂性。

甚至在边缘计算、物联网 (IoT) 和联网汽车爆炸式增长之前，内存中的安全功能就已经在激增。电可擦可编程只读存储器 (EEPROM) 受到信用卡、SIM 卡和无钥匙进入系统的青睐，而 SD 卡中的“S”代表“安全”，而基于闪存的 SSD 多年来一直包含加密。

安全性已经稳定地嵌入到分布在整个计算系统和网络环境中的内存和网络设备中。但是这些基于内存的安全功能仍然必须考虑人为错误。信息安全专业人员必须处理用户打开虚假附件或路由器配置错误的后果。

同样，除非正确配置，并且在包含软件的系统中协调一致，否则安全内存功能的好处将无法完全实现。

您可以说双 SoC（安全运营中心和片上系统）正在合并。

英飞凌的 Semper Secure NOR 闪存可用作硬件信任根，同时还可执行诊断和数据校正以确保功能安全。（来源：英飞凌）

Rambus 等公司提供旨在保护每个连接的产品，以响应云和边缘计算中增加的服务器连接带宽需求。与此同时，英飞凌科技扩展了其赛普拉斯半导体Semper NOR 闪存，以反映每个系统连接的必然性——黑客篡改闪存设备的内容。

这种篡改可能会影响任何数量的不同计算平台，包括自动驾驶汽车，它本质上是一个带轮子的服务器。再加上 5G 网络增强的工业、医疗和物联网场景。安全性不仅需要集成，还需要在许多不同设备的生命周期内进行管理，其中一些设备使用嵌入式内存可能会持续十年。内存密集型应用程序仍然对黑客最有吸引力。

分析师 Thomas Coughlin 表示，加密密钥管理对于保护系统仍然至关重要。随着非易失性存储器技术的普及，将安全性融入嵌入式系统变得越来越重要。这是因为即使设备断电，数据也会持续存在。

Coughlin 说，挑战并不在于增加安全功能。例如，SSD 上的数据可以加密。“最大的问题是用户使用这些功能是否容易，因为通常最薄弱的环节是人的环节。”

智能手机充当身份验证代理，生物识别技术取代了传统密码。这种情况留下了未加密数据可能意外暴露的可能性。Coughlin 说，危险在于实施缺陷或复杂性。“让安全变得简单是关键，这不仅仅是加密数据并将其放入硬件。”

SSD 和内存供应商 Virtium 的营销副总裁 Scott Phillips 说，加密 SSD 只到此为止。需要一种多层次的管理方法。Phillips 说，虽然Trusted Computing Group 的 Opal规范等存储规范可以达到 BIOS 级别以进行预启动身份验证，但配置和集中管理对于防范黑客攻击至关重要。

“即使是一家体面的公司也无法实现很多整体的、复杂的安全性，”他补充道。

随着 5G 的发展，人们正在努力实现数据路径保护到数据中心和数据中心之间，但在实现基于硬件的安全性的好处方面仍然存在挑战。

集成要求

在工业市场中，整合需要整合不同的系统。菲利普斯说，与此同时，亚马逊网络服务和微软 Azure 等超大规模企业正在促进数据安全。尽管如此，这些防御必须一直实施到最终用户。

尽管标准和要求的列表越来越多，但安全方法仍然存在兼容性问题。菲利普斯说，供应商仍在努力将自己定位为安全产品和服务的领导者。

“黑客总是领先一步，”他补充道。“他们知道所有这些小漏洞在哪里。这些是他们检查的东西。真的需要一个集中的、超级细致的 IT 人员或部门来解决所有这些漏洞。”

将安全性嵌入存储设备而不是用螺栓固定的想法与软件方法没有什么不同。“DevSecOps”是关于使安全和隐私成为应用程序开发过程中不可或缺的一部分。

一个被称为“机密计算”的新兴框架旨在通过在基于硬件的可信执行环境 (TEE) 中隔离计算来保护正在使用的数据。在处理数据时，数据在内存和 CPU 之外的其他地方被加密。

英特尔 SGX 支持创建可信执行环境，这是主处理器的一个安全区域，可确保加载的代码和数据在机密性和完整性方面受到保护。

软件和硬件供应商都在推广机密计算，包括最近宣布将其应用于容器工作负载的谷歌，英特尔还通过其英特尔软件保护扩展为 Microsoft Azure 等云提供商启用 TEE 。

机密计算需要共同承担安全责任。英特尔产品保障和安全架构高级首席工程师西蒙约翰逊表示，人类仍然是最薄弱的环节。

约翰逊说，英特尔支持开发人员执行代码以保护数据。同时，机密计算运动源于企业要求处理不考虑来源的数据，包括敏感的医疗保健信息、财务记录和知识产权。

约翰逊说，平台提供商不应该能够看到数据。“你想让尽可能多的人远离你的事情。”

英特尔 SGX 包括基于硬件的内存加密，可隔离内存中的特定应用程序代码和数据。它允许用户级代码分配专用内存“飞地”，旨在与以更高权限级别运行的进程隔离。结果是更精细的控制和保护，以防止针对 RAM 中的内存的冷启动攻击等攻击。

英特尔框架还旨在帮助抵御基于软件的攻击，即使操作系统、驱动程序、BIOS 或虚拟机管理器受到威胁。

机密计算将使工作负载成为可能，例如对不属于用户的大型数据集进行分析。它还可以在更接近工作负载的地方执行加密密钥，从而改善延迟。“今天我们真的只有软件来提供保护，”约翰逊说。“我们在这类环境中没有硬件保护。”

Johnson 说，机密计算将通过以机密计算联盟的授权为代表的硬件和软件生态系统来保护数据或代码的处理。

Virtium 的 Phillips 指出，易用性几乎总能提高安全性。按钮式内存加密是目标，“而全面的安全性将来自除此之外的附加功能，”他补充道。

他说，这个想法不仅仅是加密内存，而是保证完全的数据隔离，以确保安全的环境。“机密计算不仅仅是加密内存，是一个更广泛的故事。”

这也是为了适应一个异质的世界。“在使用数据时，您必须提供一层访问控制，并能够证明您正在使用该软件，并且该数据位于某个区域。它把所有这些东西都建在了梯子上。”