云栖精选|阿里云首席安全架构师揭秘可信云加密计算2.0

本文涉及的产品
云安全中心 免费版,不限时长
简介: 美国网络安全公司 Cybersecurity Ventures 发布的《2017年度网络犯罪报告》预测,到2021年,网络犯罪所致全球经济损失总额将达6万亿美元/年,比2015年的3万亿美元足足翻了一倍。

美国网络安全公司 Cybersecurity Ventures 发布的《2017年度网络犯罪报告》预测,到2021年,网络犯罪所致全球经济损失总额将达6万亿美元/年,比2015年的3万亿美元足足翻了一倍。传统的边界防御策略越来越难以应对日益复杂的安全威胁挑战。云作为未来社会的公共基础设施如何构建可信云平台成为云服务商需要考虑的问题。

在9月21日的杭州云栖大会云安全峰会上,阿里云安全发布了“可信云2.0”的硬件安全架构,从系统信任根、可信硬件固件安全、加密计算三个角度全方位的阐述了构建可信云之路。

f6255b0db8d8d0a613f2c6871c508852afccbf1b

阿里云安全首席架构师李晓宁解读可信云加密计算2.0

系统可信根保障“根基安全”

从整个系统的角度看,整个硬件系统需要一个硬件可信根来提供最基础的可信基石,就像盖房子必须打好牢固的地基一样,硬件系统也需要一个牢固的可信根来确保整个系统的基础安全。

目前国内外都遵循和推广基于TPM2.0技术标准的可信根,同时国内也在推进TPCM技术的可信根。阿里云通过开放技术生态合作,携手合作伙伴在系统架构层面兼容不同的可信根,为系统搭建可信的基石,确保根基安全。

可信硬件准入计划保障“硬安全”

从硬件系统的角度看,云服务器上运行着很多设备,这些设备都拥有相应的硬件处理能力以及相关的系统软件,即固件,这其中包括了如网卡、FPGA加速卡、GPU卡、BMC(板上管理控制单元)等一系列的硬件固件。如果这些硬件固件处于不可信状态,那么将对系统安全造成巨大的安全风险。就像一栋房子若选用了不合格的钢筋混凝土就会有风险一样,硬件固件的安全对“整栋房子”的安全性起着重要作用。

为了解决这些硬件固件的安全问题,阿里云正在推进可信硬件准入计划,对那些不由阿里云直接提供的硬件固件,将通过和合作伙伴一起定义可信硬件固件,并通过特定的准入认证来确保阿里云所采用的硬件设备及相关固件处于可信的状态。

比如,阿里云率先和网卡供应商合作,将网卡作为第一批的可信硬件设备,通过和Intel、Marvell、Mellanox等厂商合作,确保合作伙伴供应的网卡设备都具备可信验签的功能,处于可信的状态。阿里云也会和生态伙伴一起不断改进可信设备准入的标准。

加密计算保障“软安全”

今天系统运行时的可信是一个重要挑战。传统的TPM技术难以胜任对运行时可信场景下的要求。阿里云通过和Intel合作,引入了基于Intel SGX的阿里云加密计算技术,通过芯片级的可信执行环境,给用户提供了运行时的可信能力。就像盖房子时不仅对建筑工人在上岗之前做了系统的操作培训,更是在建造期间制定了一套严格的操作标准,防止在建造过程中出现纰漏。

目前支持阿里云加密计算技术的神龙云服务器已经于2018年4月底正式产品化,大量的客户开始通过采用加密计算保护他们的敏感数据。同时阿里云通过和Intel合作,将加密计算技术从处理器扩展到FPGA设备,通过FPGA加密计算技术让今天主流的机器学习计算模型和数据相关的计算都可以运行在可信环境中,从而帮助用户提升云上的数据安全。

不仅如此,阿里云还通过和世界领先的高性能计算、数据中心端到端互连方案提供商Mellanox公司合作,基于智能网卡推出了智能网卡的加密计算技术,从而将系统的可信扩展到网络上,通过智能网卡加密计算技术实现可信网络。

未来,阿里云将继续开放技术生态合作,与合作伙伴一起借助前沿科技构建可信云平台,捍卫客户数据安全,为保障社会公共基础设施安全贡献力量。

相关文章
|
27天前
|
SQL 弹性计算 安全
购买阿里云活动内云服务器之后设置密码、安全组、增加带宽、挂载云盘教程
当我们通过阿里云的活动购买完云服务器之后,并不是立马就能使用了,还需要我们设置云服务器密码,配置安全组等基本操作之后才能使用,有的用户还需要购买并挂载数据盘到云服务器上,很多新手用户由于是初次使用阿里云服务器,因此并不知道这些设置的操作流程,下面给大家介绍下这些设置的具体操作流程。
购买阿里云活动内云服务器之后设置密码、安全组、增加带宽、挂载云盘教程
|
2月前
|
安全 搜索推荐 前端开发
揭秘 HTTPS 加密协议:保护你的网上安全之道
揭秘 HTTPS 加密协议:保护你的网上安全之道
109 0
|
2月前
|
存储 监控 安全
360 企业安全浏览器基于阿里云数据库 SelectDB 版内核 Apache Doris 的数据架构升级实践
为了提供更好的日志数据服务,360 企业安全浏览器设计了统一运维管理平台,并引入 Apache Doris 替代了 Elasticsearch,实现日志检索与报表分析架构的统一,同时依赖 Doris 优异性能,聚合分析效率呈数量级提升、存储成本下降 60%....为日志数据的可视化和价值发挥提供了坚实的基础。
360 企业安全浏览器基于阿里云数据库 SelectDB 版内核 Apache Doris 的数据架构升级实践
|
2月前
|
存储 数据可视化 数据管理
基于阿里云服务的数据平台架构实践
本文主要介绍基于阿里云大数据组件服务,对企业进行大数据平台建设的架构实践。
698 0
|
5天前
|
云安全 数据采集 安全
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
阿里云提供两种关键安全产品:Web应用防火墙和云防火墙。Web应用防火墙专注网站安全,防护Web攻击、CC攻击和Bot防御,具备流量管理、大数据防御能力和简易部署。云防火墙是SaaS化的网络边界防护,管理南北向和东西向流量,提供访问控制、入侵防御和流量可视化。两者结合可实现全面的网络和应用安全。
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
|
5天前
|
弹性计算 安全
电子好书发您分享《阿里云第八代企业级ECS实例,为企业提供更安全的云上防护》
阿里云第八代ECS实例,搭载第五代英特尔至强处理器与飞天+CIPU架构,提升企业云服务安全与算力。[阅读详情](https://developer.aliyun.com/ebook/8303/116162?spm=a2c6h.26392459.ebook-detail.5.76bf7e5al1Zn4U) ![image](https://ucc.alicdn.com/pic/developer-ecology/cok6a6su42rzm_f422f7cb775444bbbfc3e61ad86800c2.png)
31 14
|
18天前
|
云安全 编解码
阿里云安全视频审核的最大文件大小为**200MB**。
阿里云安全视频审核的最大文件大小为**200MB**。
13 1
|
29天前
|
存储 机器学习/深度学习 并行计算
阿里云服务器X86计算、Arm计算、GPU/FPGA/ASIC、高性能计算架构区别
在我们选购阿里云服务器的时候,云服务器架构有X86计算、ARM计算、GPU/FPGA/ASIC、弹性裸金属服务器、高性能计算可选,有的用户并不清楚他们之间有何区别,本文主要简单介绍下不同类型的云服务器有何不同,主要特点及适用场景有哪些。
阿里云服务器X86计算、Arm计算、GPU/FPGA/ASIC、高性能计算架构区别
|
30天前
|
安全 数据处理 云计算
阿里云神龙架构的背景
阿里云神龙架构的背景
|
1月前
|
机器学习/深度学习 安全 算法
安全多方计算之三:同态加密
安全多方计算之三:同态加密
345 42