近日,龙蜥社区系统安全 MeetUp 圆满结束,来自 Arm、阿里云、海光、Intel、统信软件、AMD、达摩院、蚂蚁集团、中科微澜及北京大学等 42 位专家、学者和意见领袖参加了本次活动。会上正式发布《商用密码技术最佳实践白皮书》和《云原生机密计算最佳实践白皮书》两大龙蜥社区操作系统安全白皮书,致力于帮助广大面临 OS 安全问题的用户深入了解操作系统标杆产品实践,让业务创新与技术探索有安全可靠的基座,为 OS 安全行业贡献龙蜥力量。
(图/龙蜥社区系统安全 MeetUp 现场合照)
会议伊始,龙蜥社区安全委员会主席、阿里云资深技术专家龙勤分享了龙蜥社区安全委员会的定位与规划,总结了龙蜥社区几大安全技术 SIG 的工作成果,并表示,“作为龙蜥社区规划与布局的八大技术方向之一,构建从硬件到云原生的全栈安全技术体系,保障用户操作系统的安全可信,让业务创新和技术探索拥有安全可靠的基石,将是龙蜥社区安全委员会和安全技术 SIG 的共同目标。”
(图/龙蜥社区安全委员会主席、阿里云资深技术专家龙勤)
随后,龙蜥社区安全委员会 Contributor、统信软件服务器操作系统与云计算产线安全研发经理曹佩庆,为现场嘉宾带来《UOS 系统安全架构简介》主题演讲,与大家共同探讨统信操作系统安全体系架构,以及重点关注的安全发展方向。
(图/龙蜥社区安全委员会 Contributor、统信软件服务器操作系统与云计算产线安全研发经理曹佩庆)
龙蜥标准化 SIG Owner、阿里巴巴标准化部总监刘大鹏,达摩院技术专家郑耿分享了《标准化助力龙蜥社区规范及安全发展》。
(图/龙蜥标准化 SIG Owner、阿里巴巴标准化部总监刘大鹏)
刘大鹏为大家详细介绍了龙蜥社区标准化 SIG 及正在制定的规范。标准化 SIG 的目标是联合 Anolis OS 生态伙伴共同制定 Anolis OS 的工程标准并确保社区产品符合行业国家相关的标准 ,确保 Anolis OS 在产业链上下游使用的兼容性、一致性,助力 Anolis OS 繁荣生态建设。标准化 SIG 制定的龙蜥社区治理规范,通过在龙蜥社区中引入软件物料清单等内容,促进龙蜥社区规范、安全发展,后续将会与龙蜥社区安全相关 SIG 紧密合作进行规范落地。
(图/达摩院技术专家郑耿)
开源供应链安全是近些年安全领域的热门话题。针对开源供应链的攻击有着攻击面广、影响面大、防范难度高等特点。郑耿分享了龙蜥社区如何通过标准化手段治理社区,提升社区透明性和安全性的实践。龙蜥安全团队通过和标准化 SIG 的合作,以社区规范的形式引入了社区 SBOM 规范,为后续通过 SBOM 去提升软件的透明性,排查软件合规风险、提升安全事件响应效率打下了坚实的基础。
龙蜥漏洞管理负责人、阿里云技术专家张世乐,中科微澜王宁做了《龙蜥漏洞管理体系》主题演讲。
(图/龙蜥漏洞管理负责人、阿里云技术专家张世乐)
安全漏洞管理是操作系统安全防护的重要组成部分,张世乐在演讲中向嘉宾介绍,龙蜥社区已建立基于风险的安全漏洞管理流程,从安全漏洞情报感知,威胁分析与风险评估,到漏洞修复,安全公告发布全生命周期的管理体系。龙蜥社区现已获取 CNA 资质,并成功申报多个 CVE,也积极开展社区安全合作,与多个安全组织及三方安全厂商在漏洞扫描与漏洞挖掘上展开合作,共建龙蜥安全生态。
(图/中科微澜王宁)
随后王宁表示,在漏洞管理领域,由于漏洞基数庞大,漏洞获取途径复杂等原因,开源社区在进行漏洞管理需要较大的人力和资源成本。openBrain 开源漏洞感知系统是依托漏洞情报自动化获取、知识化与智能分析等技术而形成新型安全基础设施,openBrain 在开源社区的应用探索证明了其在开源项目漏洞管理过程中具有很高的价值,能够在降低人力投入的同时极大提升开源社区安全保障能力,解决漏洞管理过程中复杂棘手的问题,让漏洞管理变得轻松简单。
(图/蚂蚁集团密码学技术专家、铜锁社区 Maintainer 张成龙)
蚂蚁集团密码学技术专家、铜锁社区 Maintainer 张成龙分享了《基于铜锁密码库构建国密生态 》,为现场嘉宾详细介绍了铜锁社区在构建国密生态中取得的进展和未来的规划,以铜锁密码库为基础,构建国密系统工具,包括 wget、curl、wrk 等,支持网络库、网络中间件等网络基础设施的国密功能,包括 Tengine、MOSN 等,以及构建国密多语言生态,包括 Java、Python 等,并将这些国密生态子项目开源,同开源社区开发者一起携手共建,助力国密生态建设。
(图/龙蜥商密软件栈 SIG Contributor 、ARM(中国)资深技术专家方方明)
随着国密算法在国内推广,国密算法的应用场景越来越多,这也对国密算法的性能提出了更高的要求。龙蜥商密软件栈 SIG Contributor 、ARM(中国)资深技术专家方方明做了《基于 Arm 架构的国密优化》主题演讲,重点介绍了国密算法 SM3 和 SM4 的基本原理。首先,方方明从 Arm 架构的演进出发,分享了 Arm 架构对于国密算法的指令支持,以及使用相关指令 在OpenSSL/Tongsuo 上的性能优化实践,并通过数据体现出 Arm 平台在国密算法上的性能优势,最后总结了 Arm 在 OpenSSL,ISA-L 和 ipsec-mb 项目上对国密算法所做的优化和贡献。
(图/北京大学研究员关志)
自我国商用密码标准于 2012 年发布以来,国内外密码主要应用领域已发生巨大的发展和变化,北京大学研究员关志分享了《国密算法扩展与 GmSSL 3.0 的新特性》。报告针对当前密码应用发展现状,从密码标准化和密码技术演进等角度展开探讨,内容涉及密码算法和实现的新型安全威胁、密码算法的新型计算运行环境和密码算法的新应用场景,在此基础上分析了国密算法的技术需求和发展方向,介绍了 GmSSL 项目在国密隐私签名、零知识证明、抗量子算法等方面引入的新特性,以及国密算法在新应用场景下的技术挑战。
(图/龙蜥社区云原生机密计算 SIG Owner、达摩院高级安全专家张佳)
龙蜥社区云原生机密计算 SIG Owner、达摩院高级安全专家张佳向现场嘉宾分享了《CNCC SIG去年成果和未来规划》,介绍了龙蜥社区机密计算 SIG 在去年取得的成果与总结,并展望了 2023 年机密计算 SIG 在机密互联与供应链安全服务的重点工作。
(图/ Intel 系统软件架构师杜凡)
应用程序层面的 TEE 安全保护技术 SGX 有着成熟的软件栈和应用场景落地案例,从第三代至强服务器 IceLake 开始支持单 socket 最大 512GB EPC 容量,能够有效支撑大内存 SGX 业务模型。配合 EDMM 功能帮助 SGX 业务动态添加 EPC 内存,有效提升 EPC 资源的利用率。Intel 系统软件架构师杜凡带来《龙蜥社区 Intel 安全功能概述》精彩分享。SGX 在龙蜥社区中目前也有强劲的支持来匹配上游 Linux 的功能。以应用程序层面的 TEE SGX 为起点,Intel 也致力于提供虚拟机层面的 TEE 技术实现 – Intel TDX (Trust Domain eXtension),TDX 提供保护虚拟机内存和CPU 寄存器状态的机密性和完整性,能够有效的防护来自不同维度的软硬件攻击,同时做到对应用程序透明无感。未来 TDX 1.5 也增加热迁移,无缝升级 TDX Module 等更高级功能助力TDX 产品化落地,最后 Intel TDX 技术路线图也披露了 TDX Connect 架构,剑指 CPU TEE 和设备 TEE 之间的 IO 链路层数据的机密性和完整性,为 TEE 技术拓展更为广阔的应用场景!
(图/ Intel软件工程师俞林)
Intel软件工程师俞林分享了《Intel TDX机密容器》主题演讲 。机密容器(Confidential Containers,CoCo)是云原生计算基金会(CNCF)的一个沙箱项目,它通过利用可信执行环境(Trusted Execution Environments)来保护容器以及数据达到云原生机密计算的目的。英特尔利用其 TDX(Trusted Domain Extensions)硬件在 CoCo 的基础上为云提供商和租户提供增强的容器、应用以及数据的全链接安全保护的端到端解决方案。
(图/AMD 资深云计算架构师宋仲儒)
AMD 资深云计算架构师宋仲儒分享了《利用 AMD EPYC 实现机密计算》 。随着越来越多的业务上云,端到端的全链路可信或机密正在慢慢成为公有云基础设施的默认要求而不再是一个特性,需要综合利用加密存储、安全网络传输、机密计算来实现对用户敏感数据全生命周期的保护。机密计算是当前业界正在补齐的环节,主流的硬件平台已经部分提供或正在实现对机密计算的支持,包括 AMD SEV,AMD SEV-ES, AMD SEV-SNP 等。
(图/海光信息安全技术部主任工程师刘子行)
海光安全虚拟化(CSV)已演进到三代,为用户数据提供了安全性和完整性的双重保护。海光信息安全技术部主任工程师刘子行做了《海光机密计算技术发展与规划》 主题演讲。CSV 通过度量虚拟机初始化镜像保证启动安全,通过内存隔离保护技术保证运行时数据安全;CSV 提供远程认证机制供第三方校验,认证信息由海光芯片签名。用户通过海光芯片证书服务系统下载芯片证书链后鉴权证书,可确认运行于真实可信的硬件环境中。海光大力支持龙蜥社区开源工作,已完成安全容器相关功能的支持,后续将继续与龙蜥社区深入合作,为用户提供更多更好的安全服务。
(图/ Arm 中国高级技术产品经理杨喜乐)
来自 Arm 中国高级技术产品经理杨喜乐分享了《Confidential Computing with Armv9-A》 。Arm 的机密领域管理扩展 (Realm Management Extension, RME) 架构特性旨在解决用户敏感应用和数据在使用中的安全挑战,实现机密计算的普惠性。Arm在Armv9-A架构已经引入了RME功能,采用对应架构的芯片也将拥有此项功能。支持 RME 架构特性的 CCA 开源软件组件已经支持在 FVP (Fixed Virtual Platform) 上进行开发、测试和验证。机密容器 (Confidential Containers) 项目中针对 Arm CCA 的支持也在同步进行中,目前已经实现了基本功能的启用和验证,基于 Veraison 的 Arm CCA attestation driver 也将会以插件的形式集成到机密容器远程证明验证服务组件 (Attestation service) 中。
值得一提的是,本次 MeetUp 上重磅发布了两大安全白皮书:
(图从左至右/吴保锡、冯浩、张天佳、杨洋)
商用密码承载了国内数据和网络的基础安全使命。会上,龙蜥社区商密软件栈 SIG Owner 张天佳向现场嘉宾详细介绍了《商用密码技术最佳实践白皮书》,该白皮书是商密软件栈 SIG 的技术和案例的沉淀做了整理汇总,挑选其中精华内容形成。随后,张天佳邀请了海光冯浩、铜锁社区 Maintainer 杨洋、浪潮信息吴保锡 3 位嘉宾共同上台发布《商用密码技术最佳实践白皮书》,从社区、案例、技术全方位介绍了商用密码生态。
(图从左至右/张佳、杜凡、宋仲儒、边道京、刘子行)
随着数据资源开放共享和数据安全威胁的增加,隐私保护云计算成为数据处理的新范式,而机密计算是实现隐私保护云计算的关键核心技术之一。龙蜥社区云原生机密计算 SIG Owner 张佳向现场嘉宾详细介绍了《云原生机密计算最佳实践白皮书》,该白皮书是云原生机密计算 SIG 集安全技术和解决方案的精华而成。会上 Intel 系统软件架构师杜凡、AMD 资深云计算架构师宋仲儒、Arm 中国边道京、海光信息安全技术部主任工程师刘子行等 4 位嘉宾共同上台发布《云原生机密计算最佳实践白皮书》,该白皮书将为用户提供开箱即用的机密计算软件栈,降低机密计算的使用门槛, 推动云原生场景下的机密计算技术的发展。
最后,感谢各位嘉宾等参加此次 MeetUp,也感谢龙蜥社区和理事单位蚂蚁集团的工作人员与志愿者们的辛勤付出:蔡佳丽、崔开、郝世荣、金美琴、可乐、李艺林、马丁、孙林林、泡椒、夏敏琪、英花、袁艳桃、张家乐、张世乐、张天佳等。
附:
《商用密码技术最佳实践白皮书》下载地址:
《云原生机密计算最佳实践白皮书》下载地址:
https://openanolis.cn/confidentialComputing
—— 完 ——
加入龙蜥社群
加入微信群:添加社区助理-龙蜥社区小龙(微信:openanolis_assis),备注【龙蜥】与你同在;加入钉钉群:扫描下方钉钉群二维码。