云栖精选|阿里云首席安全架构师揭秘可信云加密计算2.0

本文涉及的产品
云安全中心 免费版,不限时长
简介: 美国网络安全公司 Cybersecurity Ventures 发布的《2017年度网络犯罪报告》预测,到2021年,网络犯罪所致全球经济损失总额将达6万亿美元/年,比2015年的3万亿美元足足翻了一倍。

美国网络安全公司 Cybersecurity Ventures 发布的《2017年度网络犯罪报告》预测,到2021年,网络犯罪所致全球经济损失总额将达6万亿美元/年,比2015年的3万亿美元足足翻了一倍。传统的边界防御策略越来越难以应对日益复杂的安全威胁挑战。云作为未来社会的公共基础设施如何构建可信云平台成为云服务商需要考虑的问题。

在9月21日的杭州云栖大会云安全峰会上,阿里云安全发布了“可信云2.0”的硬件安全架构,从系统信任根、可信硬件固件安全、加密计算三个角度全方位的阐述了构建可信云之路。

f6255b0db8d8d0a613f2c6871c508852afccbf1b

阿里云安全首席架构师李晓宁解读可信云加密计算2.0

系统可信根保障“根基安全”

从整个系统的角度看,整个硬件系统需要一个硬件可信根来提供最基础的可信基石,就像盖房子必须打好牢固的地基一样,硬件系统也需要一个牢固的可信根来确保整个系统的基础安全。

目前国内外都遵循和推广基于TPM2.0技术标准的可信根,同时国内也在推进TPCM技术的可信根。阿里云通过开放技术生态合作,携手合作伙伴在系统架构层面兼容不同的可信根,为系统搭建可信的基石,确保根基安全。

可信硬件准入计划保障“硬安全”

从硬件系统的角度看,云服务器上运行着很多设备,这些设备都拥有相应的硬件处理能力以及相关的系统软件,即固件,这其中包括了如网卡、FPGA加速卡、GPU卡、BMC(板上管理控制单元)等一系列的硬件固件。如果这些硬件固件处于不可信状态,那么将对系统安全造成巨大的安全风险。就像一栋房子若选用了不合格的钢筋混凝土就会有风险一样,硬件固件的安全对“整栋房子”的安全性起着重要作用。

为了解决这些硬件固件的安全问题,阿里云正在推进可信硬件准入计划,对那些不由阿里云直接提供的硬件固件,将通过和合作伙伴一起定义可信硬件固件,并通过特定的准入认证来确保阿里云所采用的硬件设备及相关固件处于可信的状态。

比如,阿里云率先和网卡供应商合作,将网卡作为第一批的可信硬件设备,通过和Intel、Marvell、Mellanox等厂商合作,确保合作伙伴供应的网卡设备都具备可信验签的功能,处于可信的状态。阿里云也会和生态伙伴一起不断改进可信设备准入的标准。

加密计算保障“软安全”

今天系统运行时的可信是一个重要挑战。传统的TPM技术难以胜任对运行时可信场景下的要求。阿里云通过和Intel合作,引入了基于Intel SGX的阿里云加密计算技术,通过芯片级的可信执行环境,给用户提供了运行时的可信能力。就像盖房子时不仅对建筑工人在上岗之前做了系统的操作培训,更是在建造期间制定了一套严格的操作标准,防止在建造过程中出现纰漏。

目前支持阿里云加密计算技术的神龙云服务器已经于2018年4月底正式产品化,大量的客户开始通过采用加密计算保护他们的敏感数据。同时阿里云通过和Intel合作,将加密计算技术从处理器扩展到FPGA设备,通过FPGA加密计算技术让今天主流的机器学习计算模型和数据相关的计算都可以运行在可信环境中,从而帮助用户提升云上的数据安全。

不仅如此,阿里云还通过和世界领先的高性能计算、数据中心端到端互连方案提供商Mellanox公司合作,基于智能网卡推出了智能网卡的加密计算技术,从而将系统的可信扩展到网络上,通过智能网卡加密计算技术实现可信网络。

未来,阿里云将继续开放技术生态合作,与合作伙伴一起借助前沿科技构建可信云平台,捍卫客户数据安全,为保障社会公共基础设施安全贡献力量。

相关文章
|
3天前
|
弹性计算 数据库 Docker
学习阿里云架构设计知识2-wp搭建及配置
VPC分区清晰架构,VSW网络分隔,CEN连通VPC,按量付费小规格,均衡策略,ESS/ACK内置SNAT,ECS用NAT上网。建DMZ需VPC、VSW、NAT、EIP。主系统多VPC/VSW配ECS和Redis,CEN全连接。CEN设路由表,外网访问设DMZ、CEN、EIP,加堡垒机。Web系统ACR部署WordPress,配数据库。验证WordPress、弹性伸缩,测外访、发文、负载。含架构图。
30 1
学习阿里云架构设计知识2-wp搭建及配置
|
3天前
|
算法 安全 Shell
SSH:加密安全访问网络的革命性协议
SSH:加密安全访问网络的革命性协议
46 9
|
3天前
|
弹性计算 负载均衡 容灾
应用阿里云弹性计算:打造高可用性云服务器ECS架构
阿里云弹性计算助力构建高可用云服务器ECS架构,通过实例分布、负载均衡、弹性IP、数据备份及多可用区部署,确保业务连续稳定。自动容错和迁移功能进一步增强容灾能力,提供全方位高可用保障。
70 0
|
3天前
|
NoSQL 安全 MongoDB
MongoDB安全机制:认证、授权与加密
【4月更文挑战第30天】MongoDB提供全面的安全机制,包括认证(用户名/密码、LDAP、Kerberos、x.509证书)、授权(基于角色的访问控制,RBAC)和加密(TLS/SSL、透明数据加密TDE、字段级加密FLE),确保数据保密性、完整性和可用性。通过合理配置这些机制,企业可保障数据安全,应对不断变化的安全威胁。
|
3天前
|
安全 Java Go
【Go语言专栏】Go语言中的加密与安全通信
【4月更文挑战第30天】本文介绍了Go语言中的加密与安全通信。通过使用golang.org/x/crypto/ssh/terminal库实现终端加密,以及golang.org/x/net/websocket库实现WebSocket安全通信。文章展示了安装库的命令、加密操作及WebSocket通信的示例代码。此外,还列举了安全通信在数据传输加密、用户认证、密码保护和文件加密等场景的应用。掌握这些知识对开发安全的Web应用至关重要。
|
3天前
|
人工智能 分布式计算 Cloud Native
阿里云PAI平台架构介绍
阿里云PAI平台架构介绍
29 0
|
3天前
|
存储 安全 算法
【专栏】保护数据安全的重要性以及安全加密算法在数据保护中的应用
【4月更文挑战第27天】在数字化时代,数据安全至关重要,关系到个人隐私、企业商业机密、国家安全及经济发展。安全加密算法(如对称加密、非对称加密和哈希算法)在保护数据方面发挥关键作用。它们应用于电子商务、金融、物联网、云存储和数字签名等领域,确保信息传输和存储的安全。面对日益复杂的挑战,我们需要持续研究和应用加密技术,提高数据安全意识,共同维护数字世界的繁荣与安全。
|
3天前
|
安全 算法 网络安全
|
3天前
|
人工智能 Serverless 数据处理
利用阿里云函数计算实现 Serverless 架构的应用
阿里云函数计算是事件驱动的Serverless服务,免服务器管理,自动扩展资源。它降低了基础设施成本,提高了开发效率,支持Web应用、数据处理、AI和定时任务等多种场景。通过实例展示了如何用Python实现图片压缩应用,通过OSS触发函数自动执行。阿里云函数计算在云计算时代助力企业实现快速迭代和高效运营。
60 0
|
3天前
|
SQL 安全 网络安全
IDEA DataGrip连接sqlserver 提示驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接的解决方法
IDEA DataGrip连接sqlserver 提示驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接的解决方法
76 0