带你读《云原生机密计算最佳实践白皮书》——Intel TDX: Intel安全虚拟化技术

简介: 带你读《云原生机密计算最佳实践白皮书》——Intel TDX: Intel安全虚拟化技术

Intel TDX: Intel安全虚拟化技术


技术自身介绍


背景

近年来,随着隐私保护的呼声和关注度越来越高,越来越多的人开始关注集中化的云基础设施存在泄露租户隐私和敏感数据的风险。在此背景下,机密计算这一新的计算形态应运而生。

机密计算是通过在基于硬件的可信执行环境(Trusted Execution Environment,TEE)中执行计算过程的全新计算模式,它能够对使用中的数据进行保护与隔离,防止具有特权的云基础设施提供方对租户的应用程序和数据进行未经授权的访问。


问题&挑战

越来越多的租户业务尤其是企业负载需要利用云计算提供的弹性资源进行海量数据处理。这类租户要求CSP能够提供更好的安全和隔离解决方案,尤其是在处理租户敏感数据这一计算阶段的过程中,租户的敏感数据不能以明文形式暴露在内存中,而租户的安全性又不依赖于CSP。


解决方案

Intel Trust Domain Extensions(简称TDX)引入了一种新的、基于硬件隔离的虚拟机工作负载形态,所谓的Trust Domain(简称TD)。TDX是一种典型的机密计算技术,可以在在租户不可信的云基础设施上,为租户的工作负载提供一个系统级(相比Intel SGX机密计算技术提供的应用级粒度)的安全可信的执行环境,同时

保证租户运行环境的机密性和完整性。为此,需要将当前租户的TD,与CSP控制的特权级系统组件(比如

VMM/hypervisor)、VM以及其他租户的TD都隔离开来,并将它们排除出当前租户的TCB,以确保当前租户的TD不受上述组件的影响。

与VM相比,TD额外增加了以下能力:

• 提供了VM内存的机密性和完整性保护

• 地址转换完整性保护

• CPU状态机密性和完整性保护

• 对安全中断和异常的分发机制

• 远程证明

TDX技术综合了MKTME(多密钥全加密内存)与VMX虚拟化技术,再添加新的指令集、处理器模式和强制实施的访问控制等设计。

  • 1685101245376.png


用户情况

目前Intel TDX已经在主流云平台上提供相关实例或部署计划:

1、 阿里云8代ECS 提供的TDX机密计算实例已经上线邀测。

2、 Microsoft Azure TDX机密计算实例也计划今年晚些时候提供服务。

相关实践学习
CentOS 7迁移Anolis OS 7
龙蜥操作系统Anolis OS的体验。Anolis OS 7生态上和依赖管理上保持跟CentOS 7.x兼容,一键式迁移脚本centos2anolis.py。本文为您介绍如何通过AOMS迁移工具实现CentOS 7.x到Anolis OS 7的迁移。
相关文章
|
1月前
|
存储 安全 虚拟化
虚拟化技术:实现资源高效利用和灵活管理的利器
虚拟化技术作为实现资源高效利用和灵活管理的重要手段,在数字化时代背景下,正逐步改变传统IT架构模式。本文概述了虚拟化技术的概念、原理及其在数据中心管理、云计算平台、企业信息化建设、科研教育及医疗行业的应用,并探讨了其面临的挑战与未来发展趋势。
125 3
|
2月前
|
运维 Cloud Native 云计算
云原生技术:探索未来计算的无限可能
【10月更文挑战第8天】 云原生技术,作为云计算领域的一次革新性突破,正引领着企业数字化转型的新浪潮。它不仅重塑了应用的构建、部署和运行方式,还通过极致的弹性、敏捷性和可扩展性,解锁了未来计算的无限潜力。本文将深入浅出地解析云原生技术的核心理念、关键技术组件及其在不同行业中的实际应用案例,展现其如何赋能业务创新,加速企业的云化之旅。
68 7
|
3月前
|
人工智能 安全 Cloud Native
阿里云云原生安全能力全线升级,护航百万客户云上安全
【重磅发布】9月20日,在杭州云栖大会上,阿里云宣布云原生安全能力全线升级,首次发布云原生网络检测与响应产品NDR(Network Detection Response,简称NDR)。同时,阿里云还宣布将持续增加免费的安全防护能力,帮助中小企业客户以极低投入完成基础的云上安全风险治理。
192 15
|
11天前
|
供应链 安全 Cloud Native
阿里云容器服务助力企业构建云原生软件供应链安全
本文基于2024云栖大会演讲,探讨了软件供应链攻击的快速增长趋势及对企业安全的挑战。文中介绍了如何利用阿里云容器服务ACK、ACR和ASM构建云原生软件供应链安全,涵盖容器镜像的可信生产、管理和分发,以及服务网格ASM实现应用无感的零信任安全,确保企业在软件开发和部署过程中的安全性。
|
5天前
|
安全 Java API
Nacos 3.0 Alpha 发布,在安全、泛用、云原生更进一步
近期,我们欣喜地宣布 Nacos 3.0 的第一个版本 Nacos 3.0-ALPHA 已经发布。Nacos 3.0 的目标是在 2.0 的基础上,进一步优化安全性、易用性和标准化。同时,我们将引入更多功能,帮助用户在分布式协调、AI 大模型、云原生等多种场景中更好地使用 Nacos,以提升其广泛适应性。
|
4月前
|
存储 Linux 调度
OpenStack如何支持虚拟化技术?
【8月更文挑战第21天】
257 0
|
2月前
|
存储 分布式计算 分布式数据库
云计算和虚拟化技术
云计算是指把计算资源、存储资源、网络资源、应用软件等集合起来,采用虚拟化技术,将这些资源池化,组成资源共享池,共享池即是“云”。
162 64
|
1月前
|
监控 安全 Cloud Native
云原生安全:Istio在微服务架构中的安全策略与实践
【10月更文挑战第26天】随着云计算的发展,云原生架构成为企业数字化转型的关键。微服务作为其核心组件,虽具备灵活性和可扩展性,但也带来安全挑战。Istio作为开源服务网格,通过双向TLS加密、细粒度访问控制和强大的审计监控功能,有效保障微服务间的通信安全,成为云原生安全的重要工具。
49 2
|
1月前
|
存储 持续交付 虚拟化
|
3月前
|
安全 Cloud Native 测试技术
Star 3w+,向更安全、更泛化、更云原生的 Nacos3.0 演进
祝贺 Nacos 社区 Star 数突破 30000!值此时机,回顾过去的两年时间,Nacos 从 2.0.4 版本演进到了 2.4.2 版本,基本完成了当初构想的高性能、易拓展的目标,并且对产品的易用性和安全性进行了提升,同时优化了新的官网,并进行了多语言和更多生态支持。未来,Nacos 会向更安全、更泛化、更云原生的 Nacos3.0 演进。
158 14

热门文章

最新文章

下一篇
DataWorks