安全之心:一文读懂可信计算

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心漏洞修复资源包免费试用,100次1年
云安全基线管理CSPM免费试用,1000次1年
简介: 信 or 不信,这是个问题

可信计算
TC (Trusted Computing)
业界新宠,越来越被高频提到
本质是
创造可信执行环境的芯片级安全防护方案

然而,江湖流传 TA 的传说
却鲜少有人见过真身
阿里云作为亚太区最早布局可信计算的云厂商
今天我们一起来聊聊 TA 是谁?

一、环境可信

“把大象放入冰箱需要几步”

如何通过“信任链”建立可信执行环境
可以分为三步来理解它

  • 可信根
  • 可信链
  • 度量/验证

第一步
可信根:芯片级、底层、不可篡改

芯片级硬件的不可篡改性
决定了其可以作为最高等级安全的基础
再将硬件层安全虚拟映透传整个目标环境
形成软硬结合的安全体系

1.JPG

一台电脑组件来自四面八方
包括他的主板芯片
当你打开电脑的时候
可能同时唤醒了隐藏在启动链路上的后门
Rootkit/Bootkit

可信硬件的插入
病毒无法篡改系统原设计
快速发现Rootkit/Bootkit并及时处理

可信根
对密钥等私密数据进行物理保护
参与建立并保障可信链的传递
对可信芯片进行安全调用

面对深度隐藏且难以察觉的威胁
需要来自底层的保护
保障上层的不可篡改性

此处
引入一个比喻来加深一下理解

工人把半成品交给下一个工人
为了工作顺利完成
首先需要保证
工作链条是在可信的前提下推进着……

2.JPG
3.JPG

方法一

每个工人在交出去之前
检查下一个工人是否为内部人士

注:第一个工人很重要
如果其身份造假
后面的工作都是错误的
此时第一位工人就是信任根
其参与建立并决定可信链的传递

4.JPG

方法二

流水线保持流动
每一次交付都记录下来

注:每次交付的记录本身很重要
保证这个记录不被篡改
记录就像密钥一样存储在可信根

把 TA 作为整个安全的可信起点
对不可控的软硬件实体实现管理

那么
问题来了
如何完成从可信起点到应用、到网络的透传?

两步并作一步:
信任链与验证/度量结果
说好的三步变两步
此处我失去了一点你的信任

此处,
我们又故作神秘的引入一个历史故事

战国“策”

5.JPG

秦攻打赵
魏信陵君希望魏王出兵营救

信陵君
通过通关密文进了魏王殿
通过使者找到了魏王妃
通过魏王妃拿到兵符
(一半的玉佩)
通过兵符配对
(与将军手里的兵符契合成功)

6.JPG
7.JPG

历史上的信陵君成功调用兵力
这是一个中性的信任关系的传递
因为其未经验证
不可信的人完成了整体关系的传递

如果
关系链起点和传递过程
经过验证与及时异常行为管理
兵符并不会这么轻易被拿走
所以
验证/度量结果的重要性不容忽视

同样是这个故事
我们换成当代可信环境下验证思考
会有不同的结局
当信陵君进魏王殿
守卫发现其并非白名单成员

8.JPG

再比如
信陵君见到魏王妃
王妃验证目的:
你要偷兵符
上报魏王

9.PNG

或者
最后就算信陵君拿到兵符
魏王有及时发现兵符丢失的敏感机制
并及时甚至提前通报将军
“谁拿着兵符来找你就杀了他”

10.PNG

这是有可信根参与的
经过度量值比对的可信链

可信计算的核心功能
是基于可信硬件建立主动免疫机制
核心流程是可信根通过可信链链接各应用
过程经过度量值比对
将信任关系逐渐扩展至整机乃至网络

二、隐世高手

可信计算神龙见首不见尾?

历史上真实发生的“窃符救赵”
更贴近传统IT架构下安全产品和服务的部署
想要实现可信计算环境
并不容易

一个相对重要的计算环境
为了保障处于可信环境
至少需要面对以下问题

  • 懂芯片
  • 懂硬件
  • 懂固件
  • 懂虚拟技术
  • 懂可信链
  • 懂软硬结合
  • 懂……

11.JPG

一边是啥也不懂很难
一边是啥都懂了的阿里云

现在
阿里云“拿捏住了”这个点:
可信内置在基础设施中
云管理物理机运行环境可信
阿里云可以按需对云虚拟服务器提供可信服务
BIOS、引导程序、操作系统内核、
应用程序加载等进行度量/验证
不需要用户采购组件

1、系统可信:
云上物理机和虚拟机运行环境
即操作系统的可信
2、应用可信:
云上管理应用和用户侧应用可信

三、安全可信

云环境比以往任何计算环境
都需要安全可信

场景一

数据上云
数据不在自己眼前
而在远程存储
用户需要确认远程的存储环境是否可信

12.PNG

可信前:
存储之后
东西被黑了

可信后:
远程证明
可以远程确认储存/计算环境可行性

场景二

APT等高等级攻击威胁不断升级

13.JPG

黑客疯狂攻击
手段变幻莫测
惊叫“这是什么新手段”

单点防御传统安全思路照搬到云环境
必然面临水土不服的窘境

可信计算方案
则是将防护前置
这也是更有前瞻性的安全技术
任你千变万化,我以不变应万变

14.JPG

可信云服务方案示意图

启动时
通过可信启动机制
对系统程序和引导程序等
进行可信验证以及控制

运行时
通过贯穿固件和软件各层面的可信软件基
对软件执行的关键环节
例如进程启动、文件访问和网络访问等
进行拦截和判定

审计上报
所有报警均上报云运维监控平台
或用户侧的云安全中心

切勿浮沙筑高台
将安全建立在硬件的不可篡改性
与密码学的理论安全性之上

关于可信计算的实际应用:
构筑企业级可信计算环境

远程证明:

基于数字签名安全上报度量结果
可靠证明系统启动与运行状态
动度量的状态作为远程证明依据

零信任密钥管理与密码算法应用:

vTPM/vTCM(虚拟可信模块)
提供完备的密钥管理与密码算法功能
因此依托vTPM
ECS环境可在启动时
第一时间可靠的创建密钥、申请证书
并执行数字签名与加解密等运算


最后
我们不妨再做一个令人兴奋的假设:

此时你拥有500万流动资金
在开心之余
这笔钱的安全问题也给你带来了幸福的烦恼
这笔财富放在哪?
家里和银行怎么选?

16.JPG
17.JPG

选择
银行中专业的保险箱
还是
家里普通的柜子

相当于
云上网络、主机等各方面系统化的
安全防护机制
vs
个人安装的杀毒软件

18.JPG

选择银行卡
还是现金

相当于
云上专业完善的数据安全机制
vs
个人简陋单一的口令机制

19.JPG

而且
服务方面银行专职的保安与柜员
对比
家里普通家庭成员

相当于
云上态势感知服务与专业安全专家运
vs
个人非专业的安全知识

综上

多数人都会选择把这笔巨款存放银行
这就好比传统架构与云上架构对比
从平台、数据、服务三个维度
为云上客户提供可信与安全


为云上用户提供硬件级安全计算环境
阿里云将继续
不断探索安全的更高峰!

相关文章
|
机器学习/深度学习 人工智能 自然语言处理
|
人工智能 安全 算法
可信联邦学习线上分享:杨强教授带领四篇论文解读最前沿研究
可信联邦学习线上分享:杨强教授带领四篇论文解读最前沿研究
104 0
|
存储 算法 量子技术
量子计算入门:量子计算机的理解与术语科普(一)
量子计算入门:量子计算机的理解与术语科普
419 0
|
机器学习/深度学习 数据采集 人工智能
学术科研无从下手?27 条机器学习避坑指南,让你的论文发表少走弯路
学术科研无从下手?27 条机器学习避坑指南,让你的论文发表少走弯路
|
存储 云安全 弹性计算
科普达人丨漫画图解SGX加密计算黑科技
运行态的数据也可以被加密,实现数据可用不可见。
科普达人丨漫画图解SGX加密计算黑科技
|
机器学习/深度学习 人工智能 算法
MIT科学家用AI设计「好奇心」算法:基于元学习探索奇妙世界
孩子们通过好奇心解锁世界。相比之下,把计算机放到新环境中通常会卡顿。为此,研究人员尝试将好奇心编码到他们的算法中,希望智能体在探索的驱动下,能够更好地了解他所处的环境。
346 0
MIT科学家用AI设计「好奇心」算法:基于元学习探索奇妙世界
|
达摩院 算法 大数据
机器之心对话「科学家保姆」施尧耘:带领阿里迈出量子芯片研发第一步
又一家企业紧跟 IBM、谷歌的步伐,踏入了量子硬件全球巨头竞技场。「这次我们是正式研发量子芯片,硬件实验室在阿里杭州总部!」自称「科学家保姆」的阿里达摩院量子实验室(AQL)主任施尧耘一边描绘着自己对阿里量子计划的憧憬,一边与机器之心讲述加盟阿里这一年里在阿里内部「创业」的成绩与挑战。
411 0
机器之心对话「科学家保姆」施尧耘:带领阿里迈出量子芯片研发第一步
|
机器学习/深度学习 人工智能 分布式计算
机器之心对话谷歌高级研究科学家Greg S Corrado:人工智能并不会让大公司形成垄断
10 月 14 日,来自谷歌的高级研究科学家 Greg S Corrado 在北京和部分中国媒体进行了短暂的交流,机器之心也受邀对 Greg 进行了采访。
186 0
机器之心对话谷歌高级研究科学家Greg S Corrado:人工智能并不会让大公司形成垄断
|
存储 数据安全/隐私保护 云计算
美科学家开发数据自毁技术 适用云计算架构
本文讲的是美科学家开发数据自毁技术 适用云计算架构,华盛顿大学的计算机科学家开发出了让电子信息经过一段时间后自毁的技术。研究人员表示,由于个人或企业信息将不再存储在PC,而存储在服务器上,这款名为“Vanish”的软件的需求将越来越高。
1038 1