机密计算解决方案

依托 IBM Z、IBM LinuxONE,以及 Intel Xeon 处理器所提供的丰富数据安全与加密技术组合,全方位守护您的数据安全

深入了解解决方案指南
机密计算插图

任务关键型企业工作负载的可信安全

IBM 机密计算涵盖 IBM Z and LinuxONE 产品组合中的 IBM 机密计算以及 Intel Xeon 产品组合的一系列服务,涉及容器、密钥管理服务和高性能计算,有助于确保数据机密性和代码完整性。

在整个计算生命周期内保护数据

多年来,云供应商一直提供加密服务以帮助保护静态数据和传输中数据,但无法保护使用中数据。机密计算通过在基于硬件的可信执行环境 (TEE) 中执行计算,从而在处理过程中保护数据,消除了剩余的数据安全漏洞。

IBM 机密计算产品系列利用 IBM Secure Execution for Linux 技术来保护整个数据生命周期。这些机密计算解决方案提供增强的隐私保证,旨在保持对静态数据、传输中数据和使用中数据的完全控制。它们提供集成的开发人员体验,使您能够确保即使是系统管理员、容器平台管理员或服务提供商也无法访问敏感数据以及容器化应用程序或解决方案堆栈。

Illustration of a man holding a large blue key next to a browser window featuring a keyhole icon. The scene includes cloud icons, password symbols, and connection lines, representing cybersecurity and data protection. The visuals are minimalistic with a modern palette of blue, gray, and black.

基于 Intel Xeon 的 IBM Cloud Bare Metal 和 采用 Intel SGX 的 Virtual Servers ,通过应用程序隔离技术帮助保护使用中数据。通过保护选定的代码和数据免遭修改,开发人员可以将其应用程序分区为强化安全区域或可信执行模块,从而有助于提高应用程序安全性。IBM Cloud 上所有采用 Intel SGX 的机密计算均在第四代 Intel Xeon 处理器上运行,这是最新一代的高性能计算微架构,内置 Intel Accelerator Engines,能效更高,支持 DDR5 内存和 PCIe 5.0。 

基于 Intel  Xeon、 采用 Intel TDX 的 IBM Cloud Virtual Servers ,旨在通过基于硬件的隔离和加密提供额外安全层。通过在加密的安全区域内运行虚拟服务器,Intel TDX 有助于确保数据免受未经授权的访问,即使是 IBM Cloud 自身也无法访问。这创建了一个为安全而设计的多租户云环境,增强了对关键应用程序的信任,并加强了数据主权,让您高枕无忧并满足合规性要求。

为何选择 IBM 进行机密计算
为每一次混合云之旅保驾护航

当您将任务关键型工作负载迁移到混合云时,可以通过基于 x86 硬件技术的各种即服务解决方案来解决安全问题。您对加密密钥、数据和应用程序拥有独家控制权,以满足数据主权要求。 
在数据的所有状态下进行超大规模扩展和保护

快速横向扩展并保持最大弹性,同时在逻辑隔离的 IBM Cloud VPC 网络中保护您的静态、传输中以及现在使用中的工作负载。从多种虚拟服务器配置文件大小和按需付费选项中进行选择,以满足保护应用程序的需求。 
提供更小的隔离粒度和代码机密性

通过细粒度的运行时隔离、加密合约和安全区域,确保您的应用程序和数据的最高机密性。通过零信任执行和远程证明,防止未经授权的访问,即使是 IBM Cloud 基础设施管理员也无法访问。这可确保您的数据和代码在任何时候都不会被更改。

产品和服务

包含盾牌和钥匙的等距插图,代表数据安全和保护。
基于 IBM Secure Execution for Linux (SEL) 的 IBM 机密计算

通过加密合约实施策略执行,并提供更高级别的基于容器的隔离。
一位身着蓝裙的女性与立方体和图表交互的等距插图。
IBM Cloud Virtual Servers 上的 Intel SGX

通过基于应用程序的隔离,帮助保护您选定的代码或数据。
插图:一名男性与大尺寸平板电脑交互,其中包含各种形状和符号。
IBM Cloud Virtual Servers 上的 Intel TDX

通过安全区域帮助保护您的数据免遭未经授权的访问。
三个人在设备上工作的等距插图
IBM 机密计算容器运行时

IBM Confidential Computing Container Runtime 是一款旨在保护任务关键型 Linux 工作负载的软件解决方案。
一个锁和一个笔记本的等距插图
适用于 Red Hat 生态系统的 IBM 机密计算

推进机密计算,并使 IBM 机密计算产品系列成为 Red Hat 生态系统的完全集成部分。

资源

博客 扩展机密计算

第四代 Intel Xeon 上的 Intel TDX 现已在法兰克福的 IBM Cloud 上推出。在第四代 Intel Xeon 处理器上,Intel TDX 在保持完整虚拟化灵活性的同时,增加了极少的性能开销——是企业级机密工作负载的理想选择。

了解更多
博客 Intel 与 IBM 如何帮助企业加快创新

为客户提供安全且可扩展的路径,以集成其首选的处理器和云环境,有助于缩短新部署的上市时间。

了解更多
学习中心 Intel Trust Authority

Intel Trust Authority 旨在为 Intel TEE 提供可靠证明。它通过帮助组织验证其跨环境的平台信任度,补充了采用 Intel TDX 和 Intel SGX 的 IBM Cloud 机密计算解决方案。

了解更多
红皮书 IBM 机密计算:在混合云环境中应用数据保护和机密性

更详细地展示 IBM 机密计算:底层技术以及这些服务如何支持您的混合云战略。

查看红皮书
视频

介绍如何利用机密计算解决业务挑战并实现无与伦比的安全性。
白皮书 采用 IBM 机密计算实现数据主权

进一步了解 IBM 机密计算如何保护您的数据,重点关注密钥管理。

下载此白皮书
学习中心 什么是机密计算?

介绍机密计算的基础知识、工作原理及其重要性。

了解更多
IBM Cloud 文档 IBM Cloud Virtual Server for VPC:创建采用 Intel SGX 或 Intel TDX 的 Virtual Servers

进一步了解 IBM Cloud Virtual Server for VPC 中的 Intel SGX 和 Intel TDX,包括启用机密计算配置文件、安全引导和证明的分步说明。

查看文档
IBM Cloud 文档 IBM Cloud Bare Metal Server(经典版)

使用 Intel SGX 预配置 Bare Metal Servers。

查看文档
视频

介绍 IBM Cloud 服务器上采用 Intel SGX 的机密计算背后的最新高性能计算微架构。

常见问题解答

IBM 机密计算平台 是一套服务,旨在利用 IBM Z 或 LinuxONE 上的机密计算功能,为混合云部署中的任务关键型数据和应用程序提供高度安全的环境。有关更多详细信息,请参阅红皮书: 《IBM 机密计算平台:在混合云环境中应用数据保护和机密性》。 

机密计算是指通过在经认证且基于硬件的可信执行环境 (TEE) 中执行计算,来保护使用中的数据,从而确保数据在处理过程中实现加密和隔离。 IBM 机密计算平台利用这一概念来保护任务关键型工作负载和敏感数据。 

运营保障可确保服务提供商和其他组织开展合规运营活动,且不会蓄意或无意地损害安全性。该机制以可被破解的运营措施为基础,因此仍需依赖信任关系。

技术保障则可确保安全功能深度融入技术之中,并且在技术层面不会发生未授权的访问或更改。这确保了数据始终处于安全状态,而无需轻信任何个人或组织不会在发生内部/外部攻击时滥用特权访问权限。 

IBM 机密计算平台 利用  IBM Secure Execution for Linux 技术 (包括内存加密、加密合约和超级管理程序等硬件与固件功能),为工作负载构建独立的安全环境。 

Intel  软件防护扩展 (SGX) 通过使用称为加密飞地的隔离内存区域,提供基于硬件的服务器安全保护您的数据。这种基于硬件的计算有助于保护您的数据免遭泄露或篡改。这意味着,通过允许应用程序在私有内存空间中运行,您的敏感数据在虚拟服务器实例内存中实时加密。要使用 Intel  SGX,您必须在支持 Intel  SGX  的工作程序节点上安装 Intel  SGX 驱动程序和平台软件。然后,设计您的应用程序以在 Intel  SGX  环境中运行。

Intel Trust Domain Extensions (Intel TDX) 是 Intel 最新的机密计算技术。这种基于硬件的可信执行环境 (TEE) 有助于部署信任域 (TD);信任域是硬件隔离的虚拟机 (VM),旨在保护敏感数据和应用程序免遭未经授权的访问。CPU 测量的 Intel TDX 模块可启用 Intel TDX。

采取后续步骤

联系我们,了解如何使用 IBM 机密计算保护您的任务关键型工作负载。