为什么技术人一定要懂点“可信计算”?
|
云平台安全依赖操作系统、数据库、虚拟化等技术,而这些系统/技术会存在原生的安全问题,使攻击者可利用系统/技术漏洞实现其攻击目的。同时,平台上的第三方系统软件、应用软件等可能会在安装或升级过程中被修改或植入攻击性模块,存在通过类似中间人攻击或内部攻击替换正版软件的风险。 阿里云提供了较完整的平台安全措施和强边界防御能力,同时通过可信来有效减小攻击面和攻击源,提升攻击门槛,使云平台安全升级。 所谓可信,即云平台、云上应用以及云用户运行环境、应用,通过使用用户指定的软件而达到行为的可预判,以此来确保云平台上运行环境以及其上运行的应用的可信,来减少由于未知因素引发成功攻击的可能性。
可信整体框架 阿里云可信是依赖云平台硬件安全中的可信计算能力,通过自研开发的可信服务,实现云上的软件栈可信, 即:云平台安全可信、云平台上运行的应用可信,达到云平台整体安全可信升级的目标。 云平台可信即确保云平台上运行的系统软件 ,如固件、操作系统(OS)都是安全的,保障平台上的系统不被篡改,即保持运行环境是所要求的运行环境。为实现这个目标,主要采用的手段是对系统软件的度量和验证,而度量和验证自身的可信通过云平台可信硬件来支持。可信硬件作为云服务器或接入用户服务器的可信根,通过在硬件内部实现最基础的安全功能如秘钥存储、安全算法实现从下到上逐级的可信链传递。 阿里云可信根采用在商业和产品化上成熟的TCM,通过使用装有TCM可信芯片的可信服务器作为系统的可信根逐级实现云平台以及其上业务的可信。 在未来国有化和更强大的TPCM商业化成熟后,会过渡到用TPCM支持的可信服务器。 TCM能保障物理机的可信,而云平台的物理宿主机上一般需运行多个虚拟机,但一个宿主机通常有一个TCM芯片,为保证对虚拟机的度量,需要有效地对TCM资源进行分配;同时虚拟机会因业务的需要而迁移,为保证虚拟机度量的延续性,其可信相关的安全管理数据如最后的PCR值等应同步迁移到目标主机上,为实现上述需求,阿里云开发TCM虚拟化(vTCM)以安全管理TCM的资源和数据。 云平台可信实现框架图如下:
可信度量启动链+远程证明设计框架 阿里云对白名单应用的保护是通过静态度量和验证、动态度量和验证来实现的,同时采用动态关联感知技术进一步确保应用可信。 静态度量和验证在应用启动之前对其镜像进行校验, 仅校验合格后才允许应用启动运行。校验的基准值为应用开发者发布的应用签名,或是可信服务提供的校验基准值。 动态度量和验证采用的是通过应用行为白名单来实现的。 被度量和验证的应用行为是系统调用行为,包括进程启动、进程调用、网络访问、文件访问等。系统调用是应用的核心执行动作,一个被攻击过、不再可信的应用在执行实现攻击者目标时必须通过系统调用实现,也就是说,通过对系统调用的监测能够有效地发现应用异常,即不再可信。实现应用可信的具体方式是首先通过对白名单应用的分析,收集用户正常行为,并以此建立行为规则库,然后根据实时采集的应用行为数据,对比应用行为规则库进行判断。如果应用行为无法匹配任何一条规则,这个行为会被判断为异常,可信云决定是否告警或终止应用运行。 此外,动态关联感知技术 通过对应用行为特征的判断,可发现应用在不调用白名单以外的情况下的应用异常。 动态关联感知通过机器学习产生应用行为基线,在应用运行时采集了一段时间应用的行为,通过大数据分析和机器学习的方式形成应用行为特征,并以此对应用行为特征异常作出判断。 阿里云可信应用可信的实现方式如下:
四、结语 可信和安全是相辅相成的,可信是安全的基础,但可信自身的实现也需要有安全机制,有安全手段配合才能更有效,例如操作系统的只读安全措施可以大大减少系统动态度量的范围,使系统动态度量成为可能。 目前,国际领先云服务商如谷歌的GCP和微软的AZURE都已有完整的基于静态度量/验证的云平台可信方案,AWS可信方案也在开发中。在国内,阿里云是首家具备可信能力的云厂商,其专有云平台研发了基于可信技术的云平台入侵检测系统,满足了等保2.0对于可信部分的高标准要求,这也是其成为通过等保2.0四级(可交付的最高等级)评测的原因之一。 在目前中国云计算可信发展初期阶段,安全硬件、服务器、系统、应用等厂商需要联合起来,形成协同共赢的生态,共同推动可信的深入发展,为构建更稳固的安全体系固本强基。 相关阅读: 业界企业拥抱云原生浪潮来袭 阿里云全面释放云技术红利 2018年全球公有云市场规模1363亿美元 企业关注焦点从“云优先”转向“云效能” (编辑:辽源站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
