英特尔将为新社区提供英特尔® SGX SDK，以说明简化安全区域的开发和部署。
资讯与基础设施安全领域的领导善于利用各种方法保护静态资料或传输中的资料，但对于记忆体中正在处理的资料需另当别论。不管是在内部服务器、边缘部署还是云服务提供者的资料中心内运行，这种“使用中”的资料大多是未加密的，并且很容易受攻击。

英特尔致力于说明客户和更广泛的生态系统保护资料，这是我们和其它业内领导厂商一起在 Linux 基金会下成立新的保密计算联盟的原因。我们很荣幸能够成为这个新行业组织的创始成员，并致力于让诸如保护使用中的资料等保密计算实践在如今的多云世界中更容易普及。

保密计算保护使用中的资料

保密计算可能采取多种形式，但早期使用场景依赖于可信执行环境（TEE），也被称作可信安全区，其中的资料和操作被隔离并受到保护，不受作业系统、云服务堆叠等其他软体的影响。结合加密资料存储和传输方法后，TEE 可以为最敏感的资料创造一个端到端的保护架构。

企业和云服务提供者可以把保密计算用于广泛的工作负载。最流行的早期使用场景是把可信安全区用于金钥保护和加密操作。但可信安全区可用于保护任何类型的高度敏感性资讯。例如在医疗分析中，安全区可以保护任何可能包含个人身份资讯的资料，从而让分析结果保持匿名。

如果希望在公有云中运行应用程式但不希望其它软体或云服务提供者看到其最宝贵的软体智慧财产权，企业可以在安全区内运行自己的专有算法。互不信任的多方可以通过使用安全区进行共用交易，同时可以保护自己的保密或专有资料不被其他方看到。只要是使用敏感性资料，就有机会通过保密计算来更好地保护它。

英特尔® SGX——驱动保密计算的硬体引擎

保密计算联盟最初专注于通用程式设计模型和安全区移植，但联盟没有规定创建和保护安全区所必要的硬体机制。这就是英特尔® 软体保护扩展（英特尔® SGX）可以发挥作用的地方。

英特尔® SGX 是基于硬体的技术，通过在记忆体中建立受保护的安全区而说明保护使用中的资料，使得只有授权的应用代码可以访问敏感性资料。和让资料可以通过作业系统和云堆叠而受到攻击的全记忆体加密技术不同，英特尔® SGX 让特定应用程式创建自己的受保护安全区，其具有与硬体的直接界面，限制访问并把对该服务器上的应用程式和任何其它虚拟机器或租户的总体性能影响降至最低。

英特尔® SGX 在应用程式层面为使用中的资料提供硬体加密，实现最小的攻击面。英特尔® SGX 目前已经用于英特尔® 至强® 处理器 E-2100 系列，并被用于Microsoft Azure*、IBM Cloud Data Guard*、百度*、阿里云* 和 Equinix* 的保密计算服务。今年晚些时候，我们将发布一款 PCI-Express 插卡，以在多插槽英特尔® 至强®可扩展服务器中运行英特尔® SGX。英特尔® SGX 将持续用于未来几代主流至强平台。

在今天宣布成立保密计算联盟的同时，我很高兴地宣布把英特尔® SGX SDK 贡献给这个新的社区，以说明简化安全区域的开发和部署。