對偶:在 Oracle Cloud Infrastructure 上部署同形加密平台
雙重性在 Oracle Cloud Infrastructure (OCI) 上執行其 SecurePlus 本機加密平台,在金融服務公司與其他機構之間提供安全的私密保護協同合作,同時保護機密資料並遵守全球私隱法規。
雙重性平台不需解密即可加密、匿名及分析資料。無論資料在傳輸中、計算中、使用中或甚至靜態,資料仍會保持加密狀態,即使是不同的公司同時協同時處理相同的資料。
但是,在其客戶資料中心內的本機伺服器上執行其平台,會提示其用戶端發生擴展性問題,提示雙重性移至雲端。從移至 Oracle Cloud Infrastructure 之後,雙重性已協助其從屬端擴展其運算、聚總更多來源的資料,以及降低其硬體、能源和人力成本。
架構
為了促進位於多個地理區域且未完全信任其中一個關係人之間的協同合作,通常至少需要應用程式元件或邏輯角色的一部分位於協同合作關係人網站外部位置。
若要在 Oracle Cloud Infrastructure 上執行其 SecurePlus homomorphic 加密平台,雙重性使用 Oracle API 服務、裸機伺服器以及虛擬機器。在裸機運算執行處理上,雙重性會執行 Intel Ice Lake CPU 來協助處理向量化指令集,此指令集支援雙重性同質的本機加密運算。對於不需要高速加速的運算,雙重性會在 Oracle Cloud Infrastructure Compute E4 虛擬機器上執行這些工作負載,改用第三代 AMD EPYC 處理器。
相較於執行各種運算的 AMD EPYC CPU,Intel Ice Lake CPU 本身顯示處理持續時間改善 50%。使用指定的 FHE 最佳化套裝程式 HEXL (Homomorphic Encryption Acceleration) 時,與不使用此套裝程式的 Ice Lake 效能相比,計算持續時間減少 50%,與 AMD EPYC CPU 效能比較時則減少 66%。
雙重性應用程式支援 REST API,可讓客戶將雙重性應用程式整合至其原生 GUI 和 (或) 傳統系統。在 MS-SQL、Oracle Database、MySQL 和 PostgreSQL 上執行雙重性應用程式時,會持續新增其他資料庫的支援。
雙重性看起來會跨地理區域執行更多機器學習工作負載,並考慮使用 Oracle Cloud Infrastructure 高效能運算平台和其他 Oracle Cloud 區域來進行災害復原功能。
在下方的架構圖表中,Oracle Cloud Infrastructure 上的雙重性環境顯示五方之間的安全協作。三方會提供加密資料,然後由第四方分析。第五方將不同對象的系統連結在一起,並佈建必要的運算資源。加密資料並匿名化資料提供者之後,分析對象就可以在單一資料擁有者或聚總的數個資料擁有者上執行運算。
下圖說明此參考架構。
架構包含下列元件:
- 區域
Oracle Cloud Infrastructure 區域是包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域與其他區域無關,而且大型距離可以區隔 (跨國家或甚至洲)。
- 身分識別與存取管理 (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) 可讓您控制能夠存取 Oracle Cloud Infrastructure 中您資源的人員,以及可對這些資源執行的作業。
- 可用性網域
可用性網域是區域內獨立的獨立資料中心。每個可用性網域中的實體資源都會與其他可用性網域中的資源隔離,以提供容錯。可用性網域不會共用基礎設施 (例如電力或散熱冷卻系統) 或內部可用性網域網路。因此,一個可用網域發生故障並不會影響該區域中的其他可用網域。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。VCN 就像傳統資料中心網路一樣,可讓您完整控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊,供您在建立 VCN 之後變更。您可以將 VCN 區隔為子網路,子網路範圍可為區域或可用性網域。每個子網路均包含一個未與 VCN 中其他子網路重疊的連續位址範圍。您可以在建立子網路之後變更子網路的大小。子網路可以是公用或專用。
- 安全清單
您可以為每個子網路建立安全規則,以指定子網路中必須允許的來源、目的地以及流量類型。
- 路由表
虛擬路由表包含將流量從子網路路由至 VCN 外部之目的地的規則,通常會透過閘道。
- 虛擬機器
Oracle Cloud Infrastructure Compute 服務可讓您在雲端佈建及管理運算主機。您可以啟動資源配置符合您 CPU、記憶體、網路頻寬以及儲存資源需求的運算執行處理。建立運算執行處理之後,您可以安全地存取運算執行處理、重新啟動運算執行處理、連附及切離磁碟區,以及在不再需要運算執行處理時終止運算執行處理。
使用第三代 AMD Epyc CPU 設定雙重性虛擬機器,協助公司分析加密的資料及共用解密的結果。VM 也負責對加密的資料執行運算、遮罩資料擁有者的名稱/位置/IP,以及防止分析群體擷取組織特定資料。
裸機資源配置使用 Intel Ice Lake CPU,相較於執行較少運算密集工作負載的虛擬機器執行處理,這會減少 50%的運算持續時間。
- 資料庫系統
資料庫系統可讓您在 Oracle Cloud 中以內含授權的價格,輕鬆建立和調整 Oracle 資料庫,並確保其安全無誤。您也可以利用 Oracle Cloud Infrastructure 在雲端資料庫的資料中心內管理 Oracle 資料庫。
- Oracle Cloud Infrastructure API
Oracle Cloud Infrastructure API 是使用 HTTPS 要求與回應的典型 REST API。
在建置和部署中取得精選
想要顯示您在 Oracle Cloud Infrastructure 上建立的內容嗎?關心與我們的全球雲端架構師分享學習課程、最佳作法和參考架構?讓我們幫助您開始使用。
- 下載範本 (PPTX)
將圖示拖放至範例線框,以說明您自己的參考架構。
- 觀看架構教學課程
逐步取得如何建立參照架構的指示。
- 提交您的圖表
請寄電子郵件給我們並附上您的圖表。我們的雲端架構師將會複查您的圖表,並與您聯絡以討論您的架構。