讓雲上使用者擁有安全感 可信或成雲伺服器標配安全能力之一!

安全頻道發表於2021-07-28

如果你對阿里雲伺服器有所關注,那你一定知道在今年2月份阿里雲宣佈推出了其第七代ECS雲伺服器產品家族,該系列產品是業內首個搭載最新第三代英特爾®至強®可擴充套件處理器(代號 Ice Lake)的計算例項。而該產品家族6月份已經正式實現規模商業化。

有人關注新品的效能提升,有人在意的是產品的智慧化程度,還有人關注的是產品的整體創新力,如果大家想聽小編聊這些,那現在可以不用繼續讀下去。我今天要和大家聊的內容不是普遍關注的效能、智慧化,而是對新一代產品安全能力的聚焦。

提到安全,大家已經不再像數年前那般漠不關心,畢竟很多企業都有經歷過慘痛的教訓,有關安全合規法律法規也在逐漸完善。無論是出於滿足合規的被逼無奈還是痛定思痛後的艱難抉擇,亦或者骨子裡對安全的足夠重視,安全性已經成為使用者產品選型時的重要考量之一。

第七代ECS雲伺服器的安全加碼

曾經在網上看到這樣一個討論,為什麼沒有駭客攻擊支付寶?為什麼沒有看到過阿里被駭客攻擊的新聞橋段?是阿里的公關做得好?還是真如傳言那般,能黑掉阿里的駭客都被阿里進行了“招安”?是否有以上這些因素小編不好妄自揣測,但有一點是可以肯定的,那就是阿里對於產品安全性的重視程度高於業界水準。

阿里雲的第七代ECS雲伺服器產品家族在安全性上都有哪些加碼?阿里雲彈性計算首席架構師蔡俊傑早就有所總結,根據他的介紹,在安全方面,阿里雲第七代ECS主要擁有以下幾點加碼:

“預設”的基礎設施可信:七代主售全部搭載安全晶片,預設實現硬體、bios和虛擬化等雲基礎設施的可信,使用者無需做任何事情;

“普惠”的可信:以前是安全增強型例項上才自持可信和加密計算,現在七代主售上都帶了可信和enclave能力,惠及使用者的所有通用計算場景;

“開放”的安全:阿里雲第七代ECS雲伺服器開放了虛擬可信根和enclave sdk,使用者可以基於它們將可信和加密計算覆蓋自己希望的更多的程式碼。

而在這段簡短的介紹中,有一個名詞的出現頻率頗高,儼然成為阿里雲伺服器安全的關鍵詞——可信。

可信讓雲服務更加安全

阿里雲彈性計算認為,從服務的角度來看,雲服務的能力可以從三個維度來看:首先是要簡單滿足資源,效能穩定安全;其次要滿足垂直場景的最佳價效比選擇;最好要配備自動化的運維和生態。而這三個維度目前是並行且同時在發展的,但針對每個能力,業界開始關注的時間不同。

在第一階段阿里雲追求的目標主要是滿足使用者基礎能力的需求,包括高效能、穩定、安全。而其中雲伺服器的“安全”,阿里雲有多維度的安全防護體系。發展到今天,阿里雲認為可信會讓雲服務變得更安全,可信應該作為雲伺服器的標配安全能力之一!而對於這一觀點阿里雲也並非空穴來風:

● 技術原因:目前技術演進趨勢是軟體下沉到硬體,雲上軟硬結合。雲本身就在不停地提升自己的安全水位。隨著社會數字化程度的提升。以前最機密的東西,不會進行數字化。但隨著上雲的企業越來越多,雲上的資料越來越核心,雲所儲存的資料涉及面廣、也更加深入,自然也需要不斷提升安全水位。

引入全新的可信計算和加密計算等理念與技術,主要思路是:第一,引入簡單可靠的硬體裝置作為信任根基,將計算環境可信性的根本依賴從作業系統等軟體轉移至硬體裝置,儘可能規避龐大的軟體系統中的漏洞給計算環境帶來的風險;

第二,在事中或事後防護方式的基礎上,進一步疊事前防護方式,透過固化計算環境的方式提高安全防禦的主動性和時效性。這是可信成為標配的技術原因,即是技術發展的自然階段,也是阿里雲自己內生的實際需求。

● 客戶需求:使用者將業務從線下機房遷移上雲,物理位置上資料似乎離自己更遠,歸屬上也不是自己的資料中心。可信可以讓使用者遠距離地監控到,他的環境在啟動時,是否可信和安全。

● 合規驅動:助力等保合規,政策與業界均認為可信成未來趨勢,從政策環境來看,政策實際是對市場需求的反饋和技術演化的結果。

也正是基於以上幾點原因,阿里雲第七代ECS雲伺服器產品將可信計算進行了完美植入。根據介紹,基於可信計算,在第七代ECS雲伺服器產品中,阿里云為客戶主要提供了以下幾種能力:

能力一,可信啟動:阿里雲第七代ECS雲伺服器首次全量搭載安全晶片作為硬體可信根,實現伺服器的可信啟動,確保零篡改;虛擬化層面,支援虛擬安全晶片可信能力,提供例項啟動過程核心元件的校驗能力。

能力二,虛擬可信根:其介面符合國內外標準,允許使用者自己做二次開發。例如使用者可以基於虛擬可信晶片的密碼運算和金鑰管理能力,來實現企業的零信任網路。

能力三,可信服務:基於可信啟動和虛擬可信根等,為使用者提供了可信服務,使使用者可以直接在雲安全中心檢視啟動狀態等,獲得便捷的上層支援。

寫在最後

隨著越來越多的企業使用者選擇上雲,雲上的安全已經不再是無關緊要的小事,企業上雲的時候非常關注的問題就是安全和隱私,阿里雲最新一代的雲伺服器在可信計算的加持下,對雲上使用者進行多層面持續的安全賦能,讓使用者擁有了充足的安全感。

此外,這款伺服器搭載的英特爾Ice Lake CPU提供業界領先的效能,並經工作負載最佳化,具有內建人工智慧加速功能,可提供無縫效能基礎,幫助從邊緣到雲加快資料的變革性影響。

Ice Lake提供增強的資料保護,抵禦惡意攻擊的同時不損失效能。藉助英特爾® Software Guard Extensions(英特爾® SGX)技術,企業可以實現零信任戰略,並與行業資料中心安全標準保持一致。

縱觀阿里雲第七代ECS雲伺服器產品家族,在強大的安全能力配合下,加之阿里雲神龍架構與第三代英特爾®至強®可擴充套件處理器(代號 Ice Lake)超高的效能加持,阿里雲使用者自此“躺平”也未嘗不可!

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31545812/viewspace-2783798/,如需轉載,請註明出處,否則將追究法律責任。

相關文章