《基于可信計算與加密計算打造云上原生計算安全-數據安全與用戶隱私保護論壇(15頁).pdf》由會員分享,可在線閱讀,更多相關《基于可信計算與加密計算打造云上原生計算安全-數據安全與用戶隱私保護論壇(15頁).pdf(15頁珍藏版)》請在三個皮匠報告上搜索。
1、基于可信計算與加密計算打造云上原生計算安全姬少晨阿里云智能 彈性計算高級產品專家路放阿里資深安全專家阿里云可信云硬件架構最佳實踐TPM2.0/TCM/TPCMBIOSBMCNICFPGAGPU啟動程序內核應用程序虛擬化可信根及虛擬化系統可信加密計算加密計算加密計算運行時可信啟動鏈可信硬件固件安全系統可信根 硬件信任根 硬件固件安全 系統信任鏈 可信執行環境基于不同軟硬件技術的高安全等級實例虛擬可信根第七代實例安全特性從底層硬件到應用的完整信任鏈保護SGX第七代安全增強型實例基于Intel SGX 2.0的虛擬化實例虛擬化Enclave第七代實例安全特性基于第三代神龍架構的虛擬化EnclaveS
2、EV測試實例邀測基于AMD SEV的機密虛擬機阿里云 第七代實例支持虛擬可信根特性 硬件安全能力透出,云原生企業級安全 完整信任鏈,覆蓋云環境全部五個層面的完整可信解決方案,對抗底層攻擊與未知威脅 向企業用戶開放虛擬信任根和可信服務的API,提供可信計算與密碼學功能通過可信啟動對抗bootkit/rootkit傳統安全軟件啟動順序在啟動固件、系統引導程序、操作系統之后難以確定啟動鏈是否被篡改,檢測對抗手段易被繞過操作系統操作引導程序啟動固件信任根傳統安全軟件惡意程序漏洞攻破植入難以全面檢測、對抗啟動度量、完整性校驗可信啟動信任根介入在啟動固件、系統引導程序、操作系統加載之前能夠實現從首指令開始
3、對系統啟動鏈的完整性校驗,有效發現惡意攻擊具體案例boothole攻擊者能夠攻擊grub2(bootloader),植入后門通過硬件可信,能夠原生對抗此攻擊攻擊者阿里云 第七代實例支持虛擬化Enclave特性虛擬化隔離的執行環境計算資源動態切分虛擬可信根度量可驗證的密碼學遠程證明移除網絡、持久化存儲,縮減攻擊面僅允許VSOCK訪問交互可信虛擬機A可信云平臺物理可信根(TPM/TCM2.0/TPCM)ENCLAVE可信虛擬機B虛擬可信根同一個虛擬機內,Enclave與外部環境強隔離虛擬機間強隔離阿里云 第七代安全增強型SGX實例商業化發布vSGX2.0技術支持大內存可信系統引導程序、操作系統神龍
4、服務器+物理可信根平臺可信客戶端度量/驗證虛擬可信根+vSGX2.0虛擬機可信終端虛擬機可信系統引導程序、操作系統搭載第三代英特爾至強處理器的芯片級安全實例支持Intel SGX 2.0,最大可支持TB級機密內存提供基于DCAP技術的阿里云遠程證明服務阿里云 SEV測試實例邀請測試基于AMD SEV的芯片級安全加密虛擬化虛擬機內存加密加密引擎內存神龍虛擬化加密虛擬機加密虛擬機加密虛擬機阿里云發布支持TDX技術基于Intel TDX技術提供高安全等級實例,打造云上原生計算安全阿里云發布專有云可信解決方案針對電力、金融、政務等關鍵信息基礎設施基于硬件和OS原生安全機制,對抗底層高等級安全威脅boo
5、tkit/rootkitAPT攻擊數據勒索以安全芯片為可信根,構建貫穿物理機、虛擬機的完整信任鏈,在系統啟動和運行時實施嚴密保護,與云盾形成互補搭配??尚艈忧闆r可信安全事件展示與處置阿里云提供多場景公共云及專有云系統可信解決方案系統可信解決方案是阿里云發布的實例級安全增強產品,基于可信計算技術,構建虛擬實例及云平臺的完整信任鏈,監控云平臺及實例系統啟動組件及用戶指定應用完整性,對抗底層攻擊與未知威脅,并支持用戶二次研發,適用于對高等級安全環境以及安全合規有強需求的客戶。等保2.0能源、金融、政務等行業的底層系統與高等級安全架構可信計算是等保2.0重要的新增項設備身份&遠程證明最佳實踐擴展研發
6、系統可信&應用可信對抗底層攻擊對抗未知威脅標識硬件與實例身份,天然解決零信任場景第一道難題證明安全狀態,將東西流浪從“安全”變“可信”樣例代碼開源可信服務與虛擬信任根API公開支持用戶根據自身情況二次研發業內首家公有云上銀行企業級安全環境建設容器云業務調度等二次研發阿里云機密計算開發套件TEE SDKTEE SDK為開發者提供機密計算原生開發工具,并支持多種機密計算平臺且具有良好的兼容性與功能支持,使開發者能夠更方便的基于阿里云機密計算基礎設施開發應用。機密計算生態應用開發工具機密計算生態應用機密計算生態應用機密計算生態應用可信功能庫遠程證明Java NativeSGX虛擬化EnclaveSE
7、V(計劃)TDX(計劃)TEE SDK阿里云發布DataTrust隱私增強計算平臺DataTrust是阿里云發布的隱私增強計算平臺SaaS產品,基于機密計算技術,使數據在傳輸、存儲、計算的過程中得到全面保護,滿足像金融、政企、電商等擁有海量復雜數據的客戶要求,適用于高數據安全使用場景。場景應用產品架構全域精細運營聯合智能風控廣告推薦醫療健康產品服務聯合健康聯合預測聯合洞察算法定制安全調度中心數據管理密鑰管理遠程證明任務管理共識審批安全加密終端節點安全加密終端節點核心技術可信執行環境TEE多方安全計算MPC聯邦學習FL差分隱私DP王恒 網商銀行高級技術專家嘉賓云上企業可信環境落地實踐THANKS