ชุมชนเทคโนโลยีกำลังถกเถียงกันอย่างจริงจังเกี่ยวกับประสิทธิภาพในโลกแห่งความเป็นจริงของ confidential computing ขณะที่องค์กรต่างๆ กำลังมองหาการป้องกันข้อมูลที่แข็งแกร่งขึ้นในสภาพแวดล้อมคลาวด์ แม้ว่าเทคโนโลยีนี้จะสัญญาว่าจะปกป้องข้อมูลที่ละเอียดอ่อนแม้กระทั่งจากผู้ให้บริการคลาวด์เอง แต่การอภิปรายเผยให้เห็นความกังวลที่สำคัญเกี่ยวกับข้อจำกัดในทางปฏิบัติและข้อสมมติฐานด้านความปลอดภัยพื้นฐาน
ขอบเขตความไว้วางใจยังคงมีอยู่ในระดับฮาร์ดแวร์
การอภิปรายในชุมชนเน้นย้ำถึงความท้าทายพื้นฐานของ confidential computing นั่นคือขอบเขตความไว้วางใจเพียงแค่เปลี่ยนที่ไปมากกว่าจะหายไปโดยสิ้นเชิง ผู้ใช้ชี้ให้เห็นว่าแม้เทคโนโลยีนี้จะป้องกันการโจมตีในระดับ hypervisor แต่ก็ยังคงต้องอาศัยความไว้วางใจอย่างสมบูรณ์ในผู้ผลิต CPU อย่าง Intel และ AMD ความกังวลนี้มีความเกี่ยวข้องโดยเฉพาะอย่างยิ่งเมื่อพิจารณาจากช่องโหว่ในอดีตของสถาปัตยกรรมโปรเซสเซอร์และความยากลำบากในการตรวจสอบการออกแบบฮาร์ดแวร์ที่เป็นกรรมสิทธิ์
สมาชิกบางคนในชุมชนแนะนำว่าสถาปัตยกรรมแบบเปิดอย่าง RISC-V อาจให้ความโปร่งใสที่ดีกว่า โดยอนุญาตให้ตรวจสอบและยืนยันการออกแบบฮาร์ดแวร์ได้ อย่างไรก็ตาม วิธีแก้ปัญหานี้ยังคงเป็นเพียงทฤษฎีสำหรับสภาพแวดล้อมการผลิต
ข้อจำกัดทางเทคนิคที่สำคัญ:
- Address Space Identifiers (ASIDs) สร้างปัญหาคอขวดด้านความสามารถในการขยายขนาดสำหรับจำนวน VM fleet
- กระบวนการยอมรับหน้าหน่วยความจำเพิ่มความล่าช้าให้กับการทำงานของหน่วยความจำ
- ขอบเขตความไว้วางใจของฮาร์ดแวร์ยังคงมีอยู่ในระดับผู้ผลิต CPU
- Linux kernel ต้องการการปรับเปลี่ยนอย่างมีนัยสำคัญเพื่อการสนับสนุนที่เหมาะสม
การแลกเปลี่ยนประสิทธิภาพส่งผลต่อการนำมาใช้ในโลกแห่งความเป็นจริง
เทคโนโลยีนี้แนะนำค่าใช้จ่ายด้านประสิทธิภาพที่น่าสังเกตซึ่งส่งผลต่อการตัดสินใจในการปรับใช้งานจริง กระบวนการยอมรับหน้าหน่วยความจำและข้อจำกัดของตัวระบุพื้นที่แอดเดรสสร้างคอขวดที่สามารถส่งผลกระทบอย่างมีนัยสำคัญต่อประสิทธิภาพของแอปพลิเคชัน โดยเฉพาะอย่างยิ่งสำหรับ workload ที่ใช้หน่วยความจำมาก การลงโทษด้านประสิทธิภาพเหล่านี้บังคับให้องค์กรต้องชั่งน้ำหนักระหว่างผลประโยชน์ด้านความปลอดภัยกับประสิทธิภาพการดำเนินงาน
แอปพลิเคชันในอุตสาหกรรมเกมให้กรณีศึกษาที่น่าสนใจ ซึ่ง confidential VM เคยถูกพิจารณาเป็นทางเลือกแทนระบบป้องกันการโกงแบบดั้งเดิม อย่างไรก็ตาม ปัจจัยด้านต้นทุนและปัญหาความเข้ากันได้ของไดรเวอร์ GPU ป้องกันการนำมาใช้อย่างแพร่หลายในภาคส่วนนี้
การปฏิบัติตามกฎระเบียบขับเคลื่อนความสนใจแม้จะมีข้อจำกัด
องค์กรในยุโรปที่ต้องจัดการกับข้อกำหนด GDPR แสดงความสนใจเป็นพิเศษใน confidential computing ในฐานะโซลูชันที่มีศักยภาพสำหรับการเข้าถึงโครงสร้างพื้นฐานคลาวด์ที่ขยายได้ในขณะที่รักษาการปฏิบัติตามกฎระเบียบ นักวิจัยทางการแพทย์และอุตสาหกรรมอื่นๆ ที่มีความไวต่อข้อมูลมองว่าเป็นวิธีการตรวจสอบกล่องกฎระเบียบสำหรับการป้องกันข้อมูล
ดังที่กล่าวไว้ในความคิดเห็นของ OP แม้ว่าจะเป็นคำสัญญามากกว่าความเป็นจริงในขณะนี้ โดยมีประโยชน์จริงน้อยมากในแง่ของการลดเวกเตอร์การโจมตีที่เกี่ยวข้อง
แรงกดดันด้านกฎระเบียบนี้สร้างความต้องการแม้ว่าผลประโยชน์ด้านความปลอดภัยของเทคโนโลยีอาจเป็นทฤษฎีมากกว่าปฏิบัติในหลายสถานการณ์
การประยุกต์ใช้ในอุตสาหกรรม:
- เกมมิ่ง: Confidential VMs ถูกพิจารณาเป็นทางเลือกสำหรับระบบป้องกันการโกง แต่ไม่ได้นำไปผลิตจริงเนื่องจากต้นทุนสูงและปัญหาไดรเวอร์ GPU
- การวิจัยทางการแพทย์: ข้อกำหนดการปฏิบัติตาม GDPR เป็นแรงผลักดันสำหรับองค์กรในยุโรป
- ผู้ให้บริการคลาวด์: Private Cloud Compute ของ Apple เป็นตัวอย่างการนำไปใช้งานที่เป็นผู้นำ
- องค์กรธุรกิจ: ทางเลือกแทนการติดตั้งเซิร์ฟเวอร์กายภาพสำหรับงานที่มีความละเอียดอ่อน
ความซับซ้อนในการนำไปใช้ท้าทายระบบนิเวศ Linux
เคอร์เนล Linux ต้องการการปรับเปลี่ยนอย่างมากเพื่อรองรับสภาพแวดล้อม confidential computing อย่างเหมาะสม การเปลี่ยนแปลงเหล่านี้ส่งผลต่อระบบการจัดการหน่วยความจำหลักและสร้างความซับซ้อนใหม่ในสแต็กคลาวด์ แม้ว่าผู้ให้บริการคลาวด์รายใหญ่จะลงทุนในการปรับเปลี่ยนเหล่านี้ แต่ความท้าทายในการนำไปใช้ทำให้การนำมาใช้ในวงกว้างช้าลงและสร้างจุดที่อาจเกิดความล้มเหลวได้
ชุมชนตระหนักว่า confidential computing เป็นก้าวสำคัญไปข้างหน้าในความปลอดภัยของคลาวด์ แต่ความคาดหวังที่สมจริงเกี่ยวกับข้อจำกัดปัจจุบันยังคงมีความสำคัญ องค์กรต้องประเมินอย่างรอบคอบว่าสถานะปัจจุบันของเทคโนโลยีตอบสนองความต้องการด้านความปลอดภัยเฉพาะของพวกเขาหรือไม่ หรือว่าแนวทางดั้งเดิมอย่างเซิร์ฟเวอร์ฟิสิกัลเฉพาะยังคงเหมาะสมกว่าสำหรับ workload ที่ละเอียดอ่อนที่สุดของพวกเขา
อ้างอิง: Rethinking the Linux cloud stack for confidential VMs