可信云到底是什么?
從2013年至今,可信云已經(jīng)成為云計算領(lǐng)域信任體系的權威認證。典型的云計算環(huán)境由硬件資源、虛擬層、計算節點(diǎn)、虛擬資源調度和應用服務(wù)資源五部分組成。計算環(huán)境是云的基礎,所有CSP(cloud service provider)提供的服務(wù)都是在計算環(huán)境基礎上建立的,所以一個(gè)可信的計算環(huán)境是可信云體系中最重要的部分。可信云體系結構中可信計算環(huán)境由信任鏈傳遞、虛擬資源可信調度兩方面來(lái)實(shí)現。
在云計算環(huán)境中,整個(gè)系統變得非常龐大,并且所有的基礎設施都由CSP提供,為了云服務(wù)的正常運行,CSP必須保證整個(gè)系統對外是可信的,關(guān)注點(diǎn)在整個(gè)系統對外的表現上,而不是單一的機器,即使系統中某些機器并不處于可信的狀態(tài),只要系統內部處理得當,就不會(huì )造成問(wèn)題。這是與現有的生產(chǎn)系統有很大的區別的,現有的系統要保證內部的每一臺機器都是可信的,而在云中,是要將信任鏈的傳遞擴展到整個(gè)云系統中,所以直接將己有的可信鏈傳遞過(guò)程移植到云計算中是不適合的,必須基于云的特點(diǎn)進(jìn)行改進(jìn)。
云系統的信息系統安全結構化保護是一個(gè)多層面的安全問(wèn)題,基于縱深防御思想的可信云體系結構中有四個(gè)重要的安全核心部分:
- 基于可信計算環(huán)境
- 可信資源調度
- 可信接入邊界
- 集中安全管理平臺
可信云計算環(huán)境是可信云環(huán)境建立的前提
以“可信云計算環(huán)境模型”為例,整個(gè)云計算環(huán)境由計算節點(diǎn)、集中安全管理中心(CloudManager,以下稱(chēng)CM)以及可信授權管理中心(Trusted Authority,以下簡(jiǎn)稱(chēng)TA)組成。
計算節點(diǎn)是提供服務(wù)資源的大量計算平臺,集中安全管理中心用來(lái)管理云中的所有資源和安全策略,調度合適的資源提供給用戶(hù)使用;可信授權管理中心作為可信認證方,提供第三方的可信認證服務(wù)。當云計算環(huán)境建立時(shí),物理機啟動(dòng),進(jìn)行可信鏈的傳遞,將可信鏈傳遞到虛擬機中,虛擬機啟動(dòng)后,申請加入云環(huán)境,首先向CM發(fā)送申請,CM對該虛擬機進(jìn)行可信證明,當證明通過(guò)時(shí),這臺虛擬機可以加入到云中,成為云的一個(gè)計算節點(diǎn)。云開(kāi)始對外提供服務(wù)后,先向安全管理中心進(jìn)行可信認證,認證通過(guò)后,可以開(kāi)始服務(wù)。當用戶(hù)需要使用資源時(shí),都是首先和CM聯(lián)系,由CM分配合適的資源給用戶(hù)使用。物理機中安裝TPCM、TCM模塊和其他驗證模塊組成TCB,將TPCM和TCM虛擬成多個(gè)vTPCM、vTCM,每一個(gè)vTPCM、vTCM對應一個(gè)VM,所有的vTPCM、vTCM由CM進(jìn)行管理,并由CM對每一個(gè)VM的狀態(tài)進(jìn)行驗證。使用TPCM、TCM和虛擬技術(shù)來(lái)完成整個(gè)可信鏈的傳遞,保證整個(gè)計算環(huán)境的可信。
浪潮可信云服務(wù)器方案填補了云計算安全領(lǐng)域的空白
主機安全是可信云計算環(huán)境的基礎,浪潮可信云服務(wù)器是國內首款面向公有云服務(wù)的高安全等級的可信云服務(wù)器,幫助公有云用戶(hù)構建從硬件到軟件、從底層到頂層的平臺信任鏈,依托浪潮可信服務(wù)器硬件平臺,搭載浪潮可信增強中間件,實(shí)現關(guān)鍵部件的固件程序、虛擬化軟件到操作系統內核、應用軟件的可信度量和防護。
四大產(chǎn)品優(yōu)勢為云主機保駕護航
自主設計與實(shí)現,搭載國產(chǎn)密碼算法,幫助客戶(hù)實(shí)現安全可控目標
采用浪潮新一代雙路服務(wù)器平臺,搭載國產(chǎn)密碼算法的可信計算模塊,以及可信服務(wù)器增強中間件,幫助用戶(hù)實(shí)現安全可控目標。
基于可信計算模塊構建軟硬件信任鏈,提升服務(wù)器抵御APT攻擊的能力
以可信計算模塊為可信根,幫助客戶(hù)構建從服務(wù)器BIOS、Option ROM、MBR、OS Loader、OS Kernel、應用程序等完整的軟硬件信任鏈,及時(shí)發(fā)現固件及系統底層的高級惡意代碼的入侵,防止服務(wù)器被惡意監控。
良好的軟硬件兼容性,支持國產(chǎn)可信操作系統和Windows操作系統。
全面支持國產(chǎn)可信操作系統與Windows Server 2012/2016,可根據業(yè)務(wù)需要靈活選擇。并可通過(guò)浪潮可信服務(wù)器增強中間件,定制實(shí)現Centos、RedHat等系統的可信功能使用。
提供基于可信云服務(wù)器的軟硬件一體化解決方案,構建高安全業(yè)務(wù)運行環(huán)境
浪潮軟硬件一體化可信計算方案以可信服務(wù)器為根基,可信增強中間件和可信操作系統為平臺,可信應用環(huán)境為目標,提供軟硬件可信計算產(chǎn)品及一體化解決方案,構建安全、可信、可控的業(yè)務(wù)運行環(huán)境。
