近日,為了不斷提升和優化雲環境的安全性及安全體驗,對用戶業務和數據的雲上安全實現更高安全等級保護,阿里雲正式發佈系統可信解決方案。該產品與和10月份發佈的業界首個基於SGX2.0和TPM的虛擬化實例將形成有力呼應,標誌著阿里雲已具備提供完整雲可信產品的能力。
系統可信解決方案
可用於保護系統啟動過程中的關鍵組件以及用戶指定的關鍵應用,通過虛擬可信芯片設備,提供完整性度量值存儲、完整性度量值報告、密碼學運算和密鑰管理等功能,並支持用戶進行上層安全機制二次研發。
虛擬可信芯片設備:
提供可靠的完整性度量值存儲和報告功能,支持各類對稱與非對稱密碼學算法。用戶可基於這些功能自行實現零信任、安全環境證明和安全業務調度等。
目前國內外在商用雲計算環境安全保障領域,常見的安全機制依然是防火牆、入侵檢測等傳統安全機制。系統可信產品基於物理或虛擬安全芯片實現安全機制,則更加強調安全機制的可靠性以及保護週期的覆蓋度,從而幫助用戶實現底層高等級安全,對入侵檢測等傳統安全機制實現了補充與增強。
作為業內首個可提供完善商業化可信虛擬化實例的雲廠商,阿里雲從用戶看不見的基礎設施最底層開始提供安全能力,基於物理服務器安裝的硬件可信芯片,保證系統啟動過程中的UEFI、BootLoader、內核鏡像和初始文件系統等都被可靠度量和安全存證,在解決複雜場景、甚至在傳統IT環境中無解的安全問題方面,做出了創新的實踐示範:
- 有效對抗 RootKit/BootKit 等底層安全威脅:從物理機和虛擬化實例啟動開始,完整收集啟動過程中的關鍵組件信息,及時、準確感知系統狀態,識別傳統IT環境難以察覺的風險;
- 可靠證明系統啟動與運行狀態:基於數字簽名安全上報度量結果,將度量的狀態作為遠程證明依據;
- 可靠證明系統啟動與運行狀態:基於數字簽名安全上報度量結果,將度量的狀態作為遠程證明依據;
- 零信任密鑰管理與密碼算法應用:依託vTPM,ECS環境在啟動時第一時間創建可靠的密鑰、申請證書並執行數字簽名和加解密等運算。
目前,國標等保(2.0)中1-4級均對可信計算技術應用提出明確要求。例如,在應用最廣泛的等保三級要求:“基於可信根對計算設備的系統引導程序、系統程序、重要配置參數和應用程序等進行可信驗證,並在應用程序的關鍵執行環節進行動態可信驗證,在檢測到其可信性受到破壞後進行報警,並將驗證結果形成審計記錄送至管理中心”。
阿里雲推出的系統可信解決方案,遵照上述要求和國內外可信計算標準,將可信計算相關功能無縫集成至可信實例C6T,實現關鍵信息的提取和驗證。如果發現安全隱患,用戶在雲安全中心控制檯實例詳情、安全告警以及ECS實例詳情等多頁面進行詳情提示。系統可信解決方案可有力地幫助用戶通過等級保護測評。
雲計算環境日漸成為影響國計民生的重要信息基礎設施,構建安全可信的雲環境勢在必行。雲具備遠超傳統計算環境的複雜性、異構性和網絡連通性,雲原生迭代更新速度更是決定了留給安全技術進行環境適配的時間機會更少。引入硬件設備作為系統的信任根基,基於硬件設備以及跟蹤、隔離等技術手段創建可信的計算環境,有效把安全漏洞、惡意代碼和網絡攻擊等對雲計算環境的影響降至最低。
