科普达人丨给大家介绍一位新朋友:可信计算-阿里云开发者社区

开发者社区> 弹性计算> 正文
登录阅读全文

科普达人丨给大家介绍一位新朋友:可信计算

简介: 接下来小书生将为大家分享云计算相关的系列科普文章,今天给大家介绍一位新朋友,他的名字叫“可信计算”。一起来通过漫画认识一下他吧~

小书生最近在疯狂地学习,接下来将为大家分享云计算相关的科普文章,今天给大家介绍一位新朋友。

他的名字叫“可信计算”。我们云安全技术小哥是这么介绍他的(以下天书看不懂的可以忽略):

“可信计算是一种基于硬件设备,通过信任链机制实现计算环境主动免疫特性的安全技术。相比传统的主机安全技术,可信计算技术将安全建立在硬件信任根之上,而且具有主动性、事前性以及所构建环境行为可预期的特点,因此适用构建高安全等级计算环境。”

—By一本正经的安全小哥


0823-可信计算-图1.png

呃,这什么?

0823-可信计算-图2.png

小书生心中想的只有三个字

请说人话!!!

(激动了,其实是四个字)

安全小哥马上开启科普达人模式

“可信计算就是一个严谨到极致的强迫症,什么东西都要按他的理想状态放好,不能让别人改,否则就浑身不舒服。”

插图01强迫症.jpg

话说,可信计算就像一个超级靠谱的长租公寓管家:他会事先整理出一个新房交付的标准,每次新租客进来之前都检查一遍,一定要保证跟理想情况一致:甲醛、噪音、清洁度……最后打分,不是100分?我要报警啦~

插图02管家.jpg

可信计算最重要的价值,就是防止被篡改。它会事先构建关键环节的标准值,追求每次状态都跟标准一致,否则就认为有东西被篡改了,将会告警。”


有同学可能会说,太靠谱了。但真的需要这么苛求吗?而且完全跟理想情况一样很难吧?

在云的世界里,还真的就需要这么严苛。代码组成的世界,写错一个标点符号,都会出bug。

插图03bug.jpg

大家想想,今天,不论是我们的身份管理、购物流水、就医记录,甚至是货币,都已经电子化了,大多数都已经上云了。在我们看不到的风平浪静下面,其实数字守卫一直在跟黑客斗智斗勇

插图04守卫.jpg


比较常用的安全防护方法,就是时刻检查哪里有安全漏洞,并尽快把这个漏洞堵上,或者设置很多安检和权限管理,每次进来之前都要验证身份。

插图05修城墙.jpg

这些方法在长期的斗智斗勇过程中,其实已经很先进了,不过安全专家在想:发现漏洞再补上,这些都是事后的、被动的,要是敌人已经打入内部那怎么办?

插图06内鬼.jpg

所以,他们就发明了“可信计算”。大致原理是事先做好一个标准计算环境,生成一个标准值用于后续校验。每次启动这套环境时都会将这套环境与基准值做对比,保证运行符合预期

我们以操作系统启动作为一个例子,在计算机的世界里,操作系统就像一个调度中枢或者地基,其他衣食住行相关的应用,都跑在它上面,操作系统管理员拥有很高的权力。一旦操作系统被攻破了,上层的应用都沦陷了。

插图07操作系统被攻破.jpg

保证操作系统的值得信任,就是非常关键的操作。操作系统在启动的时候,需要很多文件和程序的参与,只要保证里面没有文件被篡改、没有恶意代码,就可以认为是安全的。利用可信计算,安全人员可以实现构建一个操作系统安全启动的状态。

这个状态会存在一个非常难被攻破的安全芯片(就像保险柜)中。

之后,每次电脑开机,这个安全芯片都会检查一下启动状态,一旦这个状态跟原来的不一样,就会报警。否则就认为这次启动时可信的。

插图08有内鬼.jpg

可信计算跟之前传统的安全方案两大区别


1、可信计算是基于硬件的方案,可以预防底层攻击。标准值的度量、存储、报告,都由安全芯片或其他硬件固件形态的可信根来负责。传统的安全方案则是基于操作系统的安全,杀毒软件运行在操作系统之上,如果操作系统出现问题,或恶意代码潜伏在操作系统层面以下,则杀毒软件可能无法发现攻击。

插图09可信计算与传统对比.jpg

2、基于主动性的、前置性的安全的方法,有预防性质。传统的安全是用漏洞库、病毒库、木马库的方式,如果有一些漏洞、病毒、木马没有被收集起来,安全机制就会有问题。

可信启动再加上严密的防守,用户就可以保证操作系统是安全的。

目前,阿里云第七代ECS已经全系搭载了安全芯片,实现了服务器和实例的可信启动让云服务器实现更高级别的安全防护,远离高等级威胁。同时,阿里云开放了可信技术接口,支持客户根据自身需求进行的二次研发,建设高等级的应用安全环境。

插图10高级坏境.jpg

也就是说,在阿里云上,用户如果认为自己的某个应用特别重要,或者某个应用的某个环节特别重要,也可以利用可信计算的思路,构建一个安全的标准环境。每次应用启动或者关键环节的时候,检测一下,确保可信。

同时,从全球的政策与商业环境来看,可信计算将会成为一种标配

国内外已有众多国家或行业规范,明确要求信息系统应用可信计算技术,比如我国的网络安全法、等级保护2.0规范(GB/T22239-2019)等通用信息系统安全标准,以及电力等部分行业性信息系统建设标准中,都已经明确要求应用可信技术实现恶意代码免疫以及环境可信验证。

插图11高分规范.jpg

合理地应用可信计算技术与产品,还可以有效助力企业高分通过认证认可哦!不仅适合强迫症、安全控,还很适合学霸呢!

以上就是本期漫画科普可信计算的全部内容了,你学废了吗?


相关推荐:

阿里云第七代云服务器ECS



版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

做技术领先、性能优异、稳如磐石的弹性计算!

官方博客
最新文章
展开
相关文章
官网链接