Google释出全新机密运算开发框架Asylo，助企业建构TEE应用保护机密资料

Google开源用于机密运算的框架Asylo，Google称Asylo为一种全新的开发框架，让企业能更容易的在机密运算环境中，维护应用程序以及资料的机密性以及完整性。

Google提到，保护资料是在云端架构执行工作负载时的首要工作，尽管云端架构有不少安全控制措施，但或许部分企业仍希望对极敏感的工作提供额外的验证隔离，而这些功能被称为机密运算。

Asylo是希腊语安全之地的意思，该框架提供在可信执行环境（Trusted Execution Environments，TEEs）中执行的应用程序开发框架和SDK。Asylo能用于加密敏感通讯的服务，以及在内飞地（Enclave）验证执行程式码的完整性，藉以保护资料以及应用程序

Google表示，TEEs可以帮助防御目标为堆叠底层的攻击，包含操作系统、Hypervisor、驱动程式以及硬件。另外，还能减轻内部恶意人员或是未经授权的第三方泄漏资料的风险。在过去，于TEEs开发以及营运应用程序，需要有专业的知识和工具，现在透过Asylo就能在特定的硬件环境实现，而且无论是在企业本地端还是在云端都不是问题。

Asylo让开发者建置具可移植性的应用程序，能被轻易部署到不同的软件以及硬件后端。在Asylo中，Google透过Google Container Registry提供Docker映像档，其已经包括执行容器所需要的所有相依关系，这种灵活性将让开发者完全发挥TEEs支援各式硬件的优点，而且不需要额外修改程式码。

Google表示，他们正在研究AMD安全加密虚拟化（SEV）技术，还有英特尔软件防护扩展技术等硬件后端技术，以进一步提供重新建置即执行的可移植性。Asylo也将在0.2版本提供SDK以及工具，让开发者开发可移植内飞地应用程序（Portable Enclave Application）。而未来也将让开发者能在内飞地执行既有的应用程序，Google说明，其操作方法很简单，把应用程序复制进Asylo的容器中，指定后端后重新建置并执行就可以了。