北京2017年10月20日電 /美通社/ -- 天涼好個秋,最近頻襲的冷空氣讓大家都添上了秋衣。而網絡環境的寒意也不斷增強,2015年我國超過五千個IP感染竊密木馬,對我國發動APT攻擊的黑客組織近30個,因此,對于用戶來說,一個安全可信的IT環境顯得至關重要。近日,浪潮在業內率先推出了面向公有云的可信云服務器。在可信領域,浪潮一直走在行業前列,是國內唯一能夠同時提供可信服務器和定制化可信增強中間件,并且同時支持TPM、TCM兩個標準的企業。如(ru)果大家還(huan)對可信這個概念一知半解,那這篇文章將給出一個答(da)案。
可信云到底是(shi)什么(me)?
從2013年至今,可(ke)信(xin����)(xin)(xin)云(yun)已(yi)經成為云(yun)計(ji)算(suan)(suan)(suan)領域(yu)信(xin)(xin)(xin)任體系的(de)權威(wei)認證。典型的(de)云(yun)計(ji)算(suan)(suan)(suan)環(huan)(huan)境(jing)(jing)由(you)(you)硬(ying)件(jian)資(zi)(zi)源(yuan)、虛擬層、計(ji)算(suan)(suan)(suan)節點、虛擬資(zi)(zi)源(yuan)調(diao)度和應(ying)用服務(wu)資(zi)(zi)源(yuan)五部分組成。計(ji)算(suan)(suan)(suan)環(huan)(huan)境(jing)(jing)是云(yun)的(de)基(ji)礎,所有CSP(cloud service provider)提(ti)供的(de)服務(wu)都是在計(ji)算(suan)(suan)(suan)環(huan)(huan)境(jing)(jing)基(ji)礎上建立的(de),所以一個可(ke)信(xin)(xin)(xin)的(de)計(ji)算(suan)(suan)(suan)環(huan)(huan)境(jing)(jing)是可(ke)信(xin)(xin)(xin)云(yun)體系中重(zhong)要的(de)部分。可(ke)信(xin)(xin)(xin)云(yun)體系結構�����中可(ke)信(xin)(xin)(xin)計(ji)算(suan)(suan)(suan)環(huan)(huan)境(jing)(jing)由(you)(you)信(xin)(xin)(xin)任鏈傳遞、虛擬資(zi)(zi)源(yuan)可(ke)信(xin)(xin)(xin)調(diao)度兩方面來實(shi)現(xian)。
在(zai)云(yun)計算環境中(zhong)(zhong),整(zheng)(zheng)個(ge)系統(tong)(tong)(tong)變得非常龐(pang)大,并且所有(you)的(de)(de)(de)(de)(de)(de)基(ji)礎設施都由CSP提(ti)供,為了云(yun)服務的(de)(de)(de)(de)(de)(de)正常運(yun)行,CSP必須保證整(zheng)(zheng)個(ge)系統(tong)(tong)(tong)對(dui)外(wai)是(shi)(shi)可(ke)(ke)信(xin)的(de)(de)(de)(de)(de)(de),關注(zhu)點在(zai)整(zheng)(zheng)個(ge)系統(tong)(tong)(tong)對(dui)外(wai)的(de)(de)(de)(de)(de)(de)表現上,而(er)不(bu)是(shi)(shi)單一的(de)(de)(de)(de)(de)(de)機器,即(ji)使(shi)系統(tong)(tong)(tong)中(zhong)(zhong)某些機器并不(bu)處于(yu)可(ke)(ke)信(xin)的(de)(de)(de)(de)(de)(de)狀態(tai),只(zhi)要(yao)(yao)系統(tong)(tong)(tong)內部(bu)處理得當(dang),就(jiu)不(bu)會造成問(wen)題(ti)。這是(shi)(shi)與現有(you)的(de)(de)(de)(de)(de)(de)生(sheng)產系統(tong)(tong)(tong)有(you)很大的(de)(de)(de)(de)(de)(de)區(qu)別的(de)(de)(de)(de)(de)(de),現有(you)的(de)(de)(de)(de)(de)(de)系統(tong)(tong)(tong)要(yao)(yao)保證內部(bu)的(de)(de)(de)(de)(de)(de)每一臺機器都是(shi)(shi)可(ke)(ke)信(xin)的(de)(de)(de)(de)(de)(de),而(er)在(zai)云(yun)中(zhong)(zhong),是(shi)(shi)要(yao)(yao)將信(xin)任鏈(lian)(lian)的(de)(de)(de)(de)(de)(de)傳(c�����huan)遞(di)擴展到整(zheng)(zheng)個(ge)云(yun)系統(tong)(tong)(tong)中(zhong)(zhong),所以直接將己有(you)的(de)(de)(de)(de)(de)(de)可(ke)(ke)信(xin)鏈(lian)(lian)傳(chuan)遞(di)過程移植到云(yun)計算中(zhong)(zhong)是(shi)(shi)不(bu)適(shi)合的(de)(de)(de)(de)(de)(de),必須基(ji)于(yu)云(yun)的(de)(de)(de)(de)(de)(de)特點進行改進。
云系統的信息系統安全結構化保護是一個多層面的安全問題,基于(yu)縱深防御思想的可(ke)信云體系結構中有四個重要(yao)的安全核心部分:
- 基于可信計算環境
- 可信資源調度
- 可信接入邊界
- 集中安全管理平臺
可信云計算環境是可信云環境建立的前提
以(yi)(yi)“可信(xin)云計(ji)算(suan)環(huan)境模型”為例,整個(ge)云計(ji)算(suan)環(huan)境由計(ji)算(suan)節點、�������集中(zhong)安全管理(li)中(zhong)心(xin)(CloudManager,以(yi)(yi)下稱�������(cheng)CM)以(yi)(yi)及(ji)可信(xin)授權管理(li)中(zhong)心(xin)(Trusted Authority,以(yi)(yi)下簡稱(cheng)TA)組成(cheng)。
計算節點是提供服務資源的大量計算平臺,集中安全管理中心用來管理云中的所有資源和安全策略,調度合適的資源提供給用戶使用;可信授權管理中心作為可信認證方,提供第三方的可信認證服務。當云計算環境建立時,物理機啟動,進行可信鏈的傳遞,將可信鏈傳遞到虛擬機中,虛擬機啟動后,申請加入云環境,首先向CM發送申請,CM對該虛擬機進行可信證明,當證明通過時,這臺虛擬機可以加入到云中,成為云的一個計算節點。云開始對外提供服務后,先向安全管理中心進行可信認證,認證通過后,可以開始服務。當用戶需要使用資源時,都是首先和CM聯系,由CM分配合適的資源給用戶使用。物理機中安裝TPCM、TCM模塊和其他驗證模塊組成TCB,將TPCM和TCM虛擬成多個vTPCM、vTCM,每一個vTPCM、vTCM對應一個VM,所有的vTPCM、vTCM由CM進行管理,并由CM對每一個VM的狀態進(jin)行驗證(zheng)。使用TPCM、TCM和虛擬技(ji)術(shu)來完(wan)成(cheng)整個可信鏈的傳遞,保證������(zheng)整個計(ji)算(suan)環境的可信。
浪潮可信云服務器方案填補了云計算安全領域的空白
主(zhu)機安全是可(ke)(ke)信(xin)(xin)(xin)云(yun)計算環境的(de)基礎,浪(lang)潮可(ke)(ke)信(xin)(xin)(xin)云(yun)服務(wu)器(qi)(qi)是國內(nei)首款(kuan)面向公(gong)有云(yun)服務(wu)的(de)高安全等級(ji)的(de)可(ke)(ke)信(xin)(xin)(xin)云(yun)服務(wu)器(qi)(qi),幫助公(gong)有云(yun)用(yong)戶構建從硬件(jian)(jian)到軟件(jian)(jian)、從底層(ceng)(ceng)到頂層(ceng)(ceng)的(de)平(ping)臺信(xin)(xin)(xin)任鏈(lian)�������,依托浪(lang)潮可(ke)(ke)信(xin)(xin)(xin)服務(wu)器(qi)(qi)硬件(jian)(jian)平(ping)臺,搭載(zai)浪(lang)潮可(ke)(ke)信(xin)(xin)(xin)增強(qiang)中間件(jian)(jian),實(shi)現(xian)關鍵部(bu)件(jian)(jian)的(de)固(gu)件(jian)(jian)程序(xu)、虛擬化軟件(jian)(jian)到操作系統內(nei)核(he)、應用(��������yong)軟件(jian)(jian)的(de)可(ke)(ke)信(xin)(xin)(xin)度量和防護。
四大產品優勢為云主機保駕護航
自主設計與實現(xian),搭載國產密碼算法,幫助客戶實現(xian)安全可控目標(biao)
采用(yong)浪潮新一代雙(shuang)路服務器平臺(tai),搭載國(guo)產密碼算(suan)法(fa)的可(ke)信(xin�����)計算(suan)模塊,以及可(ke)信(������xin)服務器增強中間件,幫助用(yong)戶實現安全可(ke)控目標。
基(ji)于可信計算模(mo)塊構建(jian)軟(r������uan)硬件信任(ren)鏈(lian),提升服(fu)務(wu)器抵御APT攻擊的能(neng)力(li)
以可信計算(suan)模(mo)塊�����(kuai)為可信根,幫助客(ke)戶構建從服務器BIOS、Option ROM、MBR、OS Loader、OS Kernel、應用(yong)程(cheng)序(xu)等完整(zheng)的(de)軟硬件信任(ren)鏈,及(ji)(ji)時發現固件及(ji)(ji)系統底層(ceng)的(de)高級惡意代碼的(de)入侵,防止服務器被惡意監控。
良好(hao)的軟硬件兼容性,支持國(guo)產可信操作系(��������xi)(xi)統和Windows操作系(xi)(xi)統。
全面支持(chi)國(guo)產(chan)可(ke)信(xin)操作(zuo)系統�������與(yu)Windows Server 2012/2016,可(ke)根據業務需(xu)要靈活(huo)選擇(ze)。并可(ke)通過浪(lang)潮可(ke)信(xin)服務器增強中間件,定制(zhi)實現Centos、RedHat等(deng)系統的可(ke)信(xin)功(gong)能使用。
提供基于(������yu)可信云服務器(qi)的軟硬件一體(ti)化解(jie)決方案,構(gou)建高安全業務運行環境(j�������ing)
浪潮軟硬件(jian)一體化(hua)(hua)可(ke)(ke)(ke)信計(ji)算(suan)方(fang)案以可(ke)(ke)(ke)信服(fu)務(wu)器為根基,可(ke)(ke)(ke)信增強中(zhong)間件(jian)和可(ke)(ke)����(ke)信操(cao)作系統為平臺,可(ke)(ke)(ke)信應用環境(jing)為目標,提供軟硬件(jian)可(ke)(ke)(ke)信計(ji)算(suan)產品(pin)及一體化(hua)(hua)解(jie)決方(fang)案,構(gou)建安全(quan)、可(ke)(ke)(ke)信、可(ke)(ke)(ke)控的業(ye)務(wu)運行環境(jing)。
