云栖精选|阿里云首席安全架构师揭秘可信云加密计算2.0

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全态势管理CSPM免费试用,1000次1年
云安全中心 免费版,不限时长
简介: 美国网络安全公司 Cybersecurity Ventures 发布的《2017年度网络犯罪报告》预测,到2021年,网络犯罪所致全球经济损失总额将达6万亿美元/年,比2015年的3万亿美元足足翻了一倍。

美国网络安全公司 Cybersecurity Ventures 发布的《2017年度网络犯罪报告》预测,到2021年,网络犯罪所致全球经济损失总额将达6万亿美元/年,比2015年的3万亿美元足足翻了一倍。传统的边界防御策略越来越难以应对日益复杂的安全威胁挑战。云作为未来社会的公共基础设施如何构建可信云平台成为云服务商需要考虑的问题。

在9月21日的杭州云栖大会云安全峰会上,阿里云安全发布了“可信云2.0”的硬件安全架构,从系统信任根、可信硬件固件安全、加密计算三个角度全方位的阐述了构建可信云之路。

f6255b0db8d8d0a613f2c6871c508852afccbf1b

阿里云安全首席架构师李晓宁解读可信云加密计算2.0

系统可信根保障“根基安全”

从整个系统的角度看,整个硬件系统需要一个硬件可信根来提供最基础的可信基石,就像盖房子必须打好牢固的地基一样,硬件系统也需要一个牢固的可信根来确保整个系统的基础安全。

目前国内外都遵循和推广基于TPM2.0技术标准的可信根,同时国内也在推进TPCM技术的可信根。阿里云通过开放技术生态合作,携手合作伙伴在系统架构层面兼容不同的可信根,为系统搭建可信的基石,确保根基安全。

可信硬件准入计划保障“硬安全”

从硬件系统的角度看,云服务器上运行着很多设备,这些设备都拥有相应的硬件处理能力以及相关的系统软件,即固件,这其中包括了如网卡、FPGA加速卡、GPU卡、BMC(板上管理控制单元)等一系列的硬件固件。如果这些硬件固件处于不可信状态,那么将对系统安全造成巨大的安全风险。就像一栋房子若选用了不合格的钢筋混凝土就会有风险一样,硬件固件的安全对“整栋房子”的安全性起着重要作用。

为了解决这些硬件固件的安全问题,阿里云正在推进可信硬件准入计划,对那些不由阿里云直接提供的硬件固件,将通过和合作伙伴一起定义可信硬件固件,并通过特定的准入认证来确保阿里云所采用的硬件设备及相关固件处于可信的状态。

比如,阿里云率先和网卡供应商合作,将网卡作为第一批的可信硬件设备,通过和Intel、Marvell、Mellanox等厂商合作,确保合作伙伴供应的网卡设备都具备可信验签的功能,处于可信的状态。阿里云也会和生态伙伴一起不断改进可信设备准入的标准。

加密计算保障“软安全”

今天系统运行时的可信是一个重要挑战。传统的TPM技术难以胜任对运行时可信场景下的要求。阿里云通过和Intel合作,引入了基于Intel SGX的阿里云加密计算技术,通过芯片级的可信执行环境,给用户提供了运行时的可信能力。就像盖房子时不仅对建筑工人在上岗之前做了系统的操作培训,更是在建造期间制定了一套严格的操作标准,防止在建造过程中出现纰漏。

目前支持阿里云加密计算技术的神龙云服务器已经于2018年4月底正式产品化,大量的客户开始通过采用加密计算保护他们的敏感数据。同时阿里云通过和Intel合作,将加密计算技术从处理器扩展到FPGA设备,通过FPGA加密计算技术让今天主流的机器学习计算模型和数据相关的计算都可以运行在可信环境中,从而帮助用户提升云上的数据安全。

不仅如此,阿里云还通过和世界领先的高性能计算、数据中心端到端互连方案提供商Mellanox公司合作,基于智能网卡推出了智能网卡的加密计算技术,从而将系统的可信扩展到网络上,通过智能网卡加密计算技术实现可信网络。

未来,阿里云将继续开放技术生态合作,与合作伙伴一起借助前沿科技构建可信云平台,捍卫客户数据安全,为保障社会公共基础设施安全贡献力量。

相关文章
|
4月前
|
弹性计算 运维 安全
阿里云资深架构师经验分享——DevSecOps最佳实践
本文将分享阿里云在DevSecOps中设计环节的实践经验,希望能够让大家理解阿里云是如何保障产品安全水位,并希望这些经验能够帮助到正在尝试落地DevSecOps解决方案的企业。
781 167
阿里云资深架构师经验分享——DevSecOps最佳实践
|
3月前
|
弹性计算 负载均衡 网络协议
阿里云SLB深度解析:从流量分发到架构优化的技术实践
本文深入探讨了阿里云负载均衡服务(SLB)的核心技术与应用场景,从流量分配到架构创新全面解析其价值。SLB不仅是简单的流量分发工具,更是支撑高并发、保障系统稳定性的智能中枢。文章涵盖四层与七层负载均衡原理、弹性伸缩引擎、智能DNS解析等核心技术,并结合电商大促、微服务灰度发布等实战场景提供实施指南。同时,针对性能调优与安全防护,分享连接复用优化、DDoS防御及零信任架构集成的实践经验,助力企业构建面向未来的弹性架构。
319 76
|
1月前
|
消息中间件 存储 大数据
阿里云消息队列 Kafka 架构及典型应用场景
阿里云消息队列 Kafka 是一款基于 Apache Kafka 的分布式消息中间件,支持消息发布与订阅模型,满足微服务解耦、大数据处理及实时流数据分析需求。其通过存算分离架构优化成本与性能,提供基础版、标准版和专业版三种 Serverless 版本,分别适用于不同业务场景,最高 SLA 达 99.99%。阿里云 Kafka 还具备弹性扩容、多可用区部署、冷热数据缓存隔离等特性,并支持与 Flink、MaxCompute 等生态工具无缝集成,广泛应用于用户行为分析、数据入库等场景,显著提升数据处理效率与实时性。
|
3月前
|
存储 机器学习/深度学习 算法
阿里云X86/ARM/GPU/裸金属/超算等五大服务器架构技术特点、场景适配与选型策略
在我们选购阿里云服务器的时候,云服务器架构有X86计算、ARM计算、GPU/FPGA/ASIC、弹性裸金属服务器、高性能计算可选,有的用户并不清楚他们之间有何区别。本文将深入解析这些架构的特点、优势及适用场景,帮助用户更好地根据实际需求做出选择。
|
3月前
|
Cloud Native Serverless 流计算
云原生时代的应用架构演进:从微服务到 Serverless 的阿里云实践
云原生技术正重塑企业数字化转型路径。阿里云作为亚太领先云服务商,提供完整云原生产品矩阵:容器服务ACK优化启动速度与镜像分发效率;MSE微服务引擎保障高可用性;ASM服务网格降低资源消耗;函数计算FC突破冷启动瓶颈;SAE重新定义PaaS边界;PolarDB数据库实现存储计算分离;DataWorks简化数据湖构建;Flink实时计算助力风控系统。这些技术已在多行业落地,推动效率提升与商业模式创新,助力企业在数字化浪潮中占据先机。
239 12
|
4月前
|
存储 安全 数据安全/隐私保护
Hyper V文件复制安全:加密与访问控制
在Hyper-V环境中,确保文件复制的安全性至关重要。主要措施包括:启用数据加密、使用HTTPS协议和磁盘加密技术(如BitLocker)保护数据传输和存储;通过身份验证、权限管理和审核日志控制访问;定期更新补丁、实施网络隔离及制定备份恢复策略。这些多层次的安全措施共同防止未经授权的访问和数据泄露,保障数据安全。
Hyper V文件复制安全:加密与访问控制
|
6月前
|
Java Linux C语言
《docker基础篇:2.Docker安装》包括前提说明、Docker的基本组成、Docker平台架构图解(架构版)、安装步骤、阿里云镜像加速、永远的HelloWorld、底层原理
《docker基础篇:2.Docker安装》包括前提说明、Docker的基本组成、Docker平台架构图解(架构版)、安装步骤、阿里云镜像加速、永远的HelloWorld、底层原理
689 90
|
4月前
|
并行计算 PyTorch 算法框架/工具
融合AMD与NVIDIA GPU集群的MLOps:异构计算环境中的分布式训练架构实践
本文探讨了如何通过技术手段混合使用AMD与NVIDIA GPU集群以支持PyTorch分布式训练。面对CUDA与ROCm框架互操作性不足的问题,文章提出利用UCC和UCX等统一通信框架实现高效数据传输,并在异构Kubernetes集群中部署任务。通过解决轻度与强度异构环境下的挑战,如计算能力不平衡、内存容量差异及通信性能优化,文章展示了如何无需重构代码即可充分利用异构硬件资源。尽管存在RDMA验证不足、通信性能次优等局限性,但该方案为最大化GPU资源利用率、降低供应商锁定提供了可行路径。源代码已公开,供读者参考实践。
279 3
融合AMD与NVIDIA GPU集群的MLOps:异构计算环境中的分布式训练架构实践
|
4月前
|
存储 弹性计算 运维
阿里云通用算力型U1实例怎么样?u1实例技术架构、场景适配与优惠价格参考
阿里云服务器ECS 通用算力型u1实例2核4G,5M固定带宽,80G ESSD Entry盘,企业用户专享优惠价格199元1年,很多用户关心这个款云服务器怎么样?阿里云通用算力型U1实例自推出以来,凭借独特的"均衡算力+智能调度"设计理念,在IaaS市场开辟出差异化的竞争赛道。本文将通过技术架构解析、典型场景适配分析、全生命周期成本测算三个维度,全面解构这款热门云服务器实例的核心价值,以供参考和选择。

热门文章

最新文章