Data in Use 使用中数据
正在被人或程序访问、处理的数据。
和 at rest、in transit 并列。三种状态里最难保护的——因为程序要用数据,就必须先解密放进内存。
在哪里
- RAM
- CPU 寄存器、缓存
- 应用进程的工作区
- 数据库查询结果集
威胁
| 威胁 | 例子 |
|---|---|
| 内存 dump | 攻击者拿到 root 后 dump 进程内存 |
| Cold boot 攻击 | 物理接触机器,从断电瞬间的 RAM 里捞密钥 |
| 旁路攻击 | Spectre、Meltdown 这类 CPU 漏洞 |
| Malware 注入 | 进程被注入代码读你内存 |
保护手段(新兴方向)
- TEE / Confidential Computing —— Intel SGX、AMD SEV、ARM TrustZone,把敏感计算放进 CPU 隔离区
- 同态加密 —— 数据不解密也能计算,性能还很差
- 安全多方计算(MPC) —— 多方协作算,谁也看不到全量数据
- 内存加密 —— AMD SME 这类硬件级 RAM 加密
现实
大多数企业目前对 in use 数据没什么真正的防护——靠操作系统隔离 + 最小权限 兜底。这是行业短板。