北京2017年10月20日電 /美通社/ -- 天涼好個(gè)秋,最近頻襲的冷空氣讓大家都添上了秋衣��。而網(wǎng)絡(luò)環(huán)境的寒意也不斷增強(qiáng)��,2015年我國(guó)超過(guò)五千個(gè)IP感染竊密木馬��,對(duì)我國(guó)發(fā)動(dòng)APT攻擊的黑客組織近30個(gè)����,因此�����,對(duì)于用戶來(lái)說(shuō)�,一個(gè)安全可信的IT環(huán)境顯得至關(guān)重要��。近日����,浪潮在業(yè)內(nèi)率先推出了面向公有云的可信云服務(wù)器。在可信領(lǐng)域��,浪潮一直走在行業(yè)前列�����,是國(guó)內(nèi)唯一能夠同時(shí)提供可信服務(wù)器和定制化可信增強(qiáng)中間件����,并且同時(shí)支持TPM、TCM兩個(gè)標(biāo)準(zhǔn)的企業(yè)����。如果大家還對(duì)可信這個(gè)概念一知半解���,那這篇文章將給出一個(gè)答案。
可信云到底是什么��?
從2013年至今�����,可信云已經(jīng)成為云計(jì)算領(lǐng)域信任體系的權(quán)威認(rèn)證�����。典型的云計(jì)算環(huán)境由硬件資源����、虛擬層��、計(jì)算節(jié)點(diǎn)��、虛擬資源調(diào)度和應(yīng)用服務(wù)資源五部分組成��。計(jì)算環(huán)境是云的基礎(chǔ)�����,所有CSP(cloud service provider)提供的服務(wù)都是在計(jì)算環(huán)境基礎(chǔ)上建立的,所以一個(gè)可信的計(jì)算環(huán)境是可信云體系中重要的部分�����?��?尚旁企w系結(jié)構(gòu)中可信計(jì)算環(huán)境由信任鏈傳遞��、虛擬資源可信調(diào)度兩方面來(lái)實(shí)現(xiàn)�。
在云計(jì)算環(huán)境中�,整個(gè)系統(tǒng)變得非常龐大��,并且所有的基礎(chǔ)設(shè)施都由CSP提供�����,為了云服務(wù)的正常運(yùn)行,CSP必須保證整個(gè)系統(tǒng)對(duì)外是可信的���,關(guān)注點(diǎn)在整個(gè)系統(tǒng)對(duì)外的表現(xiàn)上�����,而不是單一的機(jī)器��,即使系統(tǒng)中某些機(jī)器并不處于可信的狀態(tài)�,只要系統(tǒng)內(nèi)部處理得當(dāng)��,就不會(huì)造成問(wèn)題���。這是與現(xiàn)有的生產(chǎn)系統(tǒng)有很大的區(qū)別的���,現(xiàn)有的系統(tǒng)要保證內(nèi)部的每一臺(tái)機(jī)器都是可信的,而在云中����,是要將信任鏈的傳遞擴(kuò)展到整個(gè)云系統(tǒng)中�,所以直接將己有的可信鏈傳遞過(guò)程移植到云計(jì)算中是不適合的�,必須基于云的特點(diǎn)進(jìn)行改進(jìn)�����。
云系統(tǒng)的信息系統(tǒng)安全結(jié)構(gòu)化保護(hù)是一個(gè)多層面的安全問(wèn)題�����,基于縱深防御思想的可信云體系結(jié)構(gòu)中有四個(gè)重要的安全核心部分:
- 基于可信計(jì)算環(huán)境
- 可信資源調(diào)度
- 可信接入邊界
- 集中安全管理平臺(tái)
可信云計(jì)算環(huán)境是可信云環(huán)境建立的前提
以“可信云計(jì)算環(huán)境模型”為例,整個(gè)云計(jì)算環(huán)境由計(jì)算節(jié)點(diǎn)����、集中安全管理中心(CloudManager���,以下稱CM)以及可信授權(quán)管理中心(Trusted Authority���,以下簡(jiǎn)稱TA)組成����。
計(jì)算節(jié)點(diǎn)是提供服務(wù)資源的大量計(jì)算平臺(tái)�,集中安全管理中心用來(lái)管理云中的所有資源和安全策略���,調(diào)度合適的資源提供給用戶使用;可信授權(quán)管理中心作為可信認(rèn)證方��,提供第三方的可信認(rèn)證服務(wù)。當(dāng)云計(jì)算環(huán)境建立時(shí)����,物理機(jī)啟動(dòng)����,進(jìn)行可信鏈的傳遞�����,將可信鏈傳遞到虛擬機(jī)中����,虛擬機(jī)啟動(dòng)后����,申請(qǐng)加入云環(huán)境����,首先向CM發(fā)送申請(qǐng)��,CM對(duì)該虛擬機(jī)進(jìn)行可信證明�����,當(dāng)證明通過(guò)時(shí),這臺(tái)虛擬機(jī)可以加入到云中�����,成為云的一個(gè)計(jì)算節(jié)點(diǎn)���。云開始對(duì)外提供服務(wù)后���,先向安全管理中心進(jìn)行可信認(rèn)證,認(rèn)證通過(guò)后����,可以開始服務(wù)�����。當(dāng)用戶需要使用資源時(shí)���,都是首先和CM聯(lián)系���,由CM分配合適的資源給用戶使用。物理機(jī)中安裝TPCM���、TCM模塊和其他驗(yàn)證模塊組成TCB�,將TPCM和TCM虛擬成多個(gè)vTPCM���、vTCM,每一個(gè)vTPCM�、vTCM對(duì)應(yīng)一個(gè)VM,所有的vTPCM����、vTCM由CM進(jìn)行管理���,并由CM對(duì)每一個(gè)VM的狀態(tài)進(jìn)行驗(yàn)證����。使用TPCM��、TCM和虛擬技術(shù)來(lái)完成整個(gè)可信鏈的傳遞,保證整個(gè)計(jì)算環(huán)境的可信���。
浪潮可信云服務(wù)器方案填補(bǔ)了云計(jì)算安全領(lǐng)域的空白
主機(jī)安全是可信云計(jì)算環(huán)境的基礎(chǔ),浪潮可信云服務(wù)器是國(guó)內(nèi)首款面向公有云服務(wù)的高安全等級(jí)的可信云服務(wù)器���,幫助公有云用戶構(gòu)建從硬件到軟件、從底層到頂層的平臺(tái)信任鏈����,依托浪潮可信服務(wù)器硬件平臺(tái)�,搭載浪潮可信增強(qiáng)中間件�����,實(shí)現(xiàn)關(guān)鍵部件的固件程序�、虛擬化軟件到操作系統(tǒng)內(nèi)核、應(yīng)用軟件的可信度量和防護(hù)��。
四大產(chǎn)品優(yōu)勢(shì)為云主機(jī)保駕護(hù)航
自主設(shè)計(jì)與實(shí)現(xiàn),搭載國(guó)產(chǎn)密碼算法����,幫助客戶實(shí)現(xiàn)安全可控目標(biāo)
采用浪潮新一代雙路服務(wù)器平臺(tái)���,搭載國(guó)產(chǎn)密碼算法的可信計(jì)算模塊�,以及可信服務(wù)器增強(qiáng)中間件����,幫助用戶實(shí)現(xiàn)安全可控目標(biāo)。
基于可信計(jì)算模塊構(gòu)建軟硬件信任鏈�����,提升服務(wù)器抵御APT攻擊的能力
以可信計(jì)算模塊為可信根��,幫助客戶構(gòu)建從服務(wù)器BIOS���、Option ROM����、MBR��、OS Loader�、OS Kernel�、應(yīng)用程序等完整的軟硬件信任鏈����,及時(shí)發(fā)現(xiàn)固件及系統(tǒng)底層的高級(jí)惡意代碼的入侵���,防止服務(wù)器被惡意監(jiān)控。
良好的軟硬件兼容性�,支持國(guó)產(chǎn)可信操作系統(tǒng)和Windows操作系統(tǒng)��。
全面支持國(guó)產(chǎn)可信操作系統(tǒng)與Windows Server 2012/2016,可根據(jù)業(yè)務(wù)需要靈活選擇����。并可通過(guò)浪潮可信服務(wù)器增強(qiáng)中間件�����,定制實(shí)現(xiàn)Centos���、RedHat等系統(tǒng)的可信功能使用����。
提供基于可信云服務(wù)器的軟硬件一體化解決方案�����,構(gòu)建高安全業(yè)務(wù)運(yùn)行環(huán)境
浪潮軟硬件一體化可信計(jì)算方案以可信服務(wù)器為根基��,可信增強(qiáng)中間件和可信操作系統(tǒng)為平臺(tái),可信應(yīng)用環(huán)境為目標(biāo)��,提供軟硬件可信計(jì)算產(chǎn)品及一體化解決方案����,構(gòu)建安全����、可信�����、可控的業(yè)務(wù)運(yùn)行環(huán)境�。
