可信计算技术曾经在安全圈非常火热，但近年来随着各种新型安全技术的兴起，可信计算被边缘化到似乎只与自主可控相关。但实际上，可信技术的应用远不于此。本期访谈文章，安全牛采访了一家基于可信计算技术做安全的初创公司创始人，阮安邦。

个人简介

阮安邦是牛津大学博士、博士后，北京大学硕士，前牛津大学OeRC研究中心可信云研究员。10多年可信计算、可信云平台科研经历，负责及参与多项欧盟重大云安全、大数据安全项目，并担任国际一流学术期刊JACM可信云方向审稿人。阮安邦博士现任北京八分量信息科技有限公司的创始人兼CEO。八分量致力于研发前沿的信息安全、可信计算技术。初创1年，已服务证券、银行、保险、政务、教育等领域10余家标杆客户。公司现已与北京大学软微学院、浙江清华长三角研究院分别成立联合实验室，并与牛津大学建立了长期深入的合作关系。

一、黑白名单的问题

安全牛：之前了解到你们是以可信计算为基础技术支撑的，请具体介绍一下八分量的核心技术理念？

阮安邦：我们最重要的技术基础是可信，但在可信上面还有自适应白名单和区块链技术，整个技术体系的理念是“持续免疫”，在免疫过程中不断的去改进。

安全的基本解决方案可以简化为两种，黑白名单。围绕这两种类型的名单，产生出各种各样的安全机制或手段。但不管有多少种安全手段，安全事件依然层出不穷，因为黑白名单本身均存在着一些问题。

黑名单的问题在于试图穷尽那些不可穷尽的事情，始终被动的跟在千变万化的恶意威胁后面。而白名单似乎要简单的多。如果我们知道一台机器应该运行什么程序，就规定它只能运行什么程序，这样以防住所有未知威胁。

但实际上，大多数安全机制还是采用的黑名单，因为白名单也同样存在一些问题。最直观的问题就是很难被管理，连运维人员都不知道自己负责的数据中心，甚至是一台机器应该运行哪些程序。这种情况，并非新鲜事。但如果我们能够为每一台机器单独定制一个白名单，这将是一个非常美好的世界。它的核心点，就在于白名单的自动化生成和管理，因为没有自动化，这种工作量是不可想象的。

二、可信计算的“成熟”与“不成熟”

安全牛：除了工作量大，白名单技术还有一个关键难点，就是很难去清晰的定义，你们是如何解决这个问题的？

阮安邦：运维人员的操作一定会留下痕迹，而且我们可以通过一定的手段让这些痕迹更加显著，然后去分析这个痕迹，根据分析结果来判断运维操作是否合法。合法在这里有两个含义，一是指运维过程本身是否正确，二是指运维结果是否为管理员真正想做的事情。

安全牛：具体是基于什么技术来保证呢？

阮安邦：是可信计算，通过可信技术来保证运维的每一个过程都产生特定的、确定性的结果，然后自动化的生成白名单。有一个产品应用的例子，在一个开源软件OpenStack架构的大规模云环境中，我们能做到完全不需要对管理员做任何培训，他还是正常的去部署脚本，正常的运维操作，即可自动生成白名单。当然这个脚本是经过我们增强的运维工具，把可信的元素放进去。

安全牛：那是不是需要可信芯片做支撑？

阮安邦：一般来说是这样。你可能认为可信架构并没有那么普及，但其实它是非常普及的，至少在国外百分之八九十以上的服务器都自带可信芯片。国内的各大数据中心、云提供商，只要是2015年以后买的机器，基本上也都带可信2.0国际标准的芯片，只不过是没有被很好地利用起来。

我本人做了十年的可信技术研究，经历过它的大起大落，从所有的安全会议都会讲可信，到现在已经没有专门针对可信的学术会议。实际上，在学术界对可信计算的理解上，有两种主要的认识。一种人认为可信技术已经很成熟，直接拿来用就行了。比如有些顶级的安全技术文章，声称解决了一些新的安全问题，但其核心还是离不开可信技术的支撑。

另一种人则认为，可信技术并未成熟，现还有很多问题需要解决。其实真正了解一个技术的时候就是你知道它不能做什么的时候，而这个时候再去通过其他的工具来弥补它的不足，这也是八分量正在做的事情。

安全牛：如果使用环境没有可信芯片呢？

阮安邦：这也分两种情况。一种情况虽然主板上没有可信芯片，但它会有芯片插槽，十几美金可以购买一个芯片插上去，甚至USB接口的芯片在国内也可买到。另外，软件上实际上也可以实现。我们现在在一个客户的云环境中测试的产品，就全部是软件模拟的。所以有各种各样的方法来让计算机具备可信元素，包括英特尔力推的SGX，还有ARM的TrustZone（可信域）等等。

苹果手机之所以比安卓手机更安全，主要是因为它的底层就是可信机制，用硬件来保证设备只运行它所认证的程序。再加上苹果商店来认证App的可信性，两者形成安全的闭环。

其实我们现在做的事情也类似，把整个服务器集群或云平台变成像苹果手机一样的封闭系统。比如目前和英国的一家公有云进行的深度合作，他们把云平台底层开放给我们进行修改，不仅保证它的底层架构OpenStack不会被修改，也保证在虚拟机管理层面的安全。

云客户最关心的问题，就是自己的数据是否会被云的拥有者读取。哪怕数据被加密，但只要密钥还在内存里，就意味着可能被人读取。除非密钥没有在云上而是在用户自己的机器里，然后所有访问通道都是加密的，用令牌化技术做代理检索。

安全牛：这就是现在CASB的典型做法。

阮安邦：对，不过我认为这种做法是迫不得已，因为提供服务方和使用方的信任问题。因此，如果解决这种信任问题就无需这么麻烦了。而可信机制就能够让用户准确的了解，它的虚机所在的物理机只允许运行了哪些指定的程序。

安全牛：国外是否有厂商也持同样的技术理念或说也在这样做？

阮安邦：有的。比如，IBM和AWS，甚至还有一家专门做可信计算业务的公司，叫PrivateCore。这家公司在2014年被Facebook收购，用以保护Facebook本身的数据安全。我们知道Facebook存储了大量的用户数据，但至少到现在，还没有听说Facebook数据泄露的消息，这里应该就有可信计算的功劳。

三、可信计算的扩展

阮安邦：除了用可信支撑白名单的自动生成以外，我们还在可信计算的扩展应用方面做了很多努力。刚才我也提到了，可信技术并不是万能，还需要做很多事情。

比如OpenStack，虽然早在四、五年前就已经集成了可信技术，即“可信计算资源池”。但在性能上是有瓶颈的，顶多支持50个物理机节点。在这个数量级的集群里，可以发现任何一个节点运行异常程序。但经过我们的努力和创新，可以把这个节点数量扩大到1.5万个，远大于OpenStack的老技术。

另外，我们还引入了UEBA（用户行为分析）技术。普通的白名单只能规定哪些程序可以运行，但对于程序是怎样的方式运行，在什么时间运行、被谁运行等问题，是没有办法的，而引入UEBA就能够很好地解决这个问题。反过来因为可信计算本身已经帮助白名单减少了大量噪音，UEBA需要分析的样本量或说分析压力就会被降到很低。这样，我们可能会制造出一个非常快而且非常精准的分析引擎。

最后，我们知道没有绝对的安全，那么一旦发现有黑客入侵的迹象，缩短响应时间窗口就非常关键。如果没有白名单的话，一旦黑客拿到最高管理权限，它的后续动作就无法得知了。黑客能安装各种各样的程序，还能把过去的行为抹掉。

在这种情况下，结合UEBA机制的白名单就能发挥更大的作用，只要发现异常行为就会报警，并且能够做出更好的预测，预测黑客的下一步行动。我们非常有信心做到这一点，因为我们可以准确地知道某台机器只能运行哪些程序或怎样运行程序，所有的服务器对于我们来说都是“裸体”的，而且所有的路径都是被规定好的。上面说的那家英国公司，我们的技术可以做到15秒钟之内发现异常，并将防御策略打包分发到所有节点。

安全牛：这里的节点是指物理机？

阮安邦：不只是物理机，虚拟机甚至容器都一样。这种技术相当于不断的在各个节点巡逻，尤其对于生产环境就是一堆容器的用户，它的内部架构就是基于微服务的，服务是到处流动的，那么可以把我们这种打包在容器中的技术实现理念，看做是一种“流动防火墙”。而且除了“流动”之外，更为重要的是它能在发现问题后，非常短的时间内，自动进行防御，而无需管理员赶紧上线甚至是跑到机房里去处理。

安全牛：你们还有一个技术点是区块链，这一块是如何结合的？

阮安邦：不管是白名单还是UEBA，或者是系统的关键配置，都存在着一个可能被篡改的问题，因此我们还在这个持续免疫的引擎中引入了一个小型的区块链，同样也是基于可信计算，目的是解决投票节点的数量问题。

安全牛：我的理解，是不是小型区块链的投票节点太少，因此用可信来解决区块链需要大量节点的投票问题？

阮安邦：没错。可信计算保证了投票节点的可信性，因为保证了运行正确的程序，就应该有正确的结果，也就绕过了大量节点或说50%以上的投票才可信的问题。

四、八分量的技术产品实践

安全牛：可信计算加基于白名单的自适应安全，再加上UEBA和区块链，都是非常前沿的安全技术，因此我想问，这些技术有没有实际的客户以验证它们的有效性？

阮安邦：因为我之前在英国做博士后，做过一些项目，因此在英国做了一些客户。比如刚才提到的一个公有云公司，还有英国的NHS，相当于国内的卫计委，还有国家电网、运营商，如沃达丰，以及几家金融机构。

以英国的这家公有云公司为例，产品部署后，白名单完全自动生成的，且仅增加了5%左右的时间开销，用户基本上无感，而且无论任何节点增加异常程序，一秒钟之内系统就会发现并报警。

另外，在国内也正在一些客户那里进行测试。有政务云、证券公司、省级高法、地级招商局，还有两家银行。虽然目前主要集中在金融和政务，但我们也逐渐在开始接触一些医疗和能源的潜在客户。

安全牛：作为一个还处于非常早期阶段的初创公司，近期的企业发展规划大概是怎样的，有无融资计划？

阮安邦：我们现在已经有七八个行业的大型潜在客户，因此在今后半年左右的时间里，要先把这些潜在客户变成标杆客户，然后在各个行业深入。再远一些看，互联网公司也是一个将会爆发的市场，在我看来，云上的安全至少现在还是蓝海。

至于资本上，我们去年年底获得洪泰的千万级天使投资，计划今年底或明年初启动一个Pre-A，但不想融太多。因为现在的资金状况还不错，各种资质也在申请，应该很快就下来。而且我们产品的客单价也不低，项目一确定大笔的现金流就会进来。

最后，不管是可信计算还是区块链技术，还是我们倡导的持续免疫理念，最终的目的还是要把我们学术研究的成果输出。也正是因为这个原因，我在牛津读完博士并没有继续留在那里做科研，尽管对方开出许多条件一再挽留。此外，我们已经分别和北大、清华长三角研究院先后成立了联合实验室，并和牛津大学保持了深度紧密的合作，就是要把领先的学术研究做商业转化，为社会带来更大的价值。

安全牛评

立足于可信计算，结合自适应白名单、区块链与UEBA等新兴技术，是八分量这家初创公司的亮点。

安全一向不存在颠覆性的技术，因此建立在一个扎实基础之上，再结合各种先进方法和手段的高效解决方案，才是真正的安全防御之道。