利用可信任链技术 助力云数据中心安全
伴随IT技术的不断演进,云计算正不断融入当代社会的各个领域,包括IT、商业都为此发生了翻天覆地的变化。在企业IT架构方面,云已逐步成为企业日常网络应用中的重要组成部分。而作为云计算发展的基础设施,数据中心的安全建设是保障云业务正常运转和云计算安全的重要防线,并显得尤为关键。
数据中心网络面临的安全挑战
数据中心是以机房和网络资源为依托,以专业化技术支撑队伍为基础,为各类用户提供各种资源出租以及相关增值服务,并定期向用户收取相应服务费用的一种电信级服务,是企业数据、应用大集中以及企业IT应用对服务提供模式的依赖的集中体现。
近十年来,随着企业的高速发展和经营对数据依赖性的增长,数据中心向着更大容量、更高能力、超大规模、多种业务模式和运营模式共存的方向发展,而其所面对的各种网络安全威胁也层出不穷。
随着企业边界被打开,企业无法自身完成所有的安全防护,而需要IT供应商、安全厂商共同帮助其在员工的个人设备、企业内部及产业链上下游共同构建安全防御和管理体系;同时在攻击方式上,高级持续性攻击(APT)和目标导向型攻击(ATT)正成为重要的新攻击手段。这两种威胁目的性更强,且攻击手法经过精心设计,特征极难发现。
而其他数据中心网络安全所面临严峻的挑战还包括DDoS攻击,黑客入侵,安全隔离,专属安全防护需求,以及网络性能瓶颈等多个方面。那么如何为云计算数据中心提供安全可信的运行环境,为客户构建从硬件到软件、从底层到顶层的平台信任链呢?近日国内知名云计算整体解决方案供应商浪潮为云数据中心的建设带来了新的安全利器。
为云数据中心打造可信任链
浪潮集团信息安全事业部总经理张东认为:“云数据中心作为信息资源的集中地和最频繁的交换地,已经成为了安全事件的多发地,而威胁防护上的任何疏漏都可能造成无法弥补的损失。在数据中心从以物理服务器为核心,向虚拟化和云计算演进,并正在进入由软件定义的下一代数据中心过程中,服务器作为云数据中心核心装备的安全策略也需随之更新。”
对此,浪潮近期发布了业内首款面向云数据中心的可信服务器,便是浪潮主机安全战略的延续和落地。据悉,首批可信服务器包括了2路及4路机型,为云数据中心提供安全可靠的服务器基础平台,形成以可信服务器为基础的云主机安全可信解决方案,填补了云计算安全领域的空白。该可信服务器是以可信芯片为起点,为客户构建全方位的平台信任链,从而营造安全可信的云数据中心环境。
浪潮此次推出的可信服务器采用可信安全模块、安全主板、安全BIOS和安全软件等技术,实现从关键部件的固件程序、虚拟化到基础软件系统的完整性度量和保护,有效防止了病毒、后门和木马对系统运行环境的篡改攻击;更可有效检测硬件和基础软件层的APT攻击,防止因固件和软件漏洞导致的高级恶意代码植入。
对于可信任链的建立,浪潮集团信息安全事业部安全可信云主机产品经理刘刚介绍到,通过信任链技术,将可安全模块作为可信根,构建从服务器硬件到操作系统和应用程序等完整的信任链,来对抗恶意代码的攻击。具体是将可信根由TCM传递到操作系统,操作系统信任底层平台,应用层再信任操作系统,如此一级一级的传递上去,最终把整个计算机系统的信任链建立起来。
刘刚表示,最终可信任链的体系里面有三个重要的特性,第一是建立可信的信息链,第二是标识平台的身份,第三是要保持密钥。而密钥将是整个认证体系里面相当重要的部分。
首先,信任链建立后,用户便可以对其完整性做一个度量和校验。如果完整性被破坏了,用户收到了来自平台的不可信提示,那么用户便可以选择不去启动该系统。通过完整性的校验,可以保证服务器系统不会被恶意植入一些未知的代码,这样便能保证服务器系统在长时间的运行中同未部署时一样安全。一旦可信任链建立了,用户便可以实现抵御恶意代码的攻击,包括在硬件层面,系统层面和应用层面等方面的防御。
其次,标识平台的身份。每个平台的特征都是不一样的,通过身份的标识能够让用户知道这个平台是否是可信的。因为在云计算环境里,企业租户去购买一个虚拟机后,其可能不知道虚拟机在什么平台上面运行,也不知道这个服务器平台是不是可信,是不是可以控制。而平台的身份标识,则可以在一定程度上解决这个方面的问题。通过完整性的度量,把该平台的特征,进行展现、核实。
还有就是密钥。刘刚表示,通过密钥的安全固化,将其写到GTM保护的区域里面,来提高密钥安全性。
此外,软硬一体的安全可信解决方案还包括了底层基础核心及云计算数据中心间的管理和应用,在可信服务器与应用程序之间,浪潮SSR操作系统安全增强系统将起到承上启下的作用。浪潮的SSR产品能够从根本上对服务器操作系统的恶意攻击免疫,将木马、后门、冲击波、振荡波等蠕虫类病毒和内外网的黑客攻击拒之门外。
构建安全可信的云主机方案
目前,由于技术缺失和市场垄断等因素的存在,行业信息化系统面临随时随地威胁,黑客可能随时轻易的利用后门、漏洞等便利条件,从主机系统中窃取重要数据。可信服务器作为主机战略的延续,强化了云数据中心核心数据资产的保护,并带动了芯片、处理器、操作系统、应用软件等整个产业链生态发展的进程。
浪潮可信服务器
同时,可信服务器是云主机安全可信的根基。浪潮云主机安全可信技术,将融合可信计算、操作系统加固、虚拟计算安全等技术,以可信芯片为根,构建链接固件、VMM、GuestOS和上层应用的信任链,来应对云主机的各种威胁。
浪潮可信服务器
对于浪潮安全可信云主机的产品架构,刘刚介绍到,在配备有可信服务器的安全可信云主机区,可实现在虚拟机里的OS可信引导,并可针对应用进行隔离保护,在防护功能上要较普通的安全云主机区更具优势。而在云主机安全管理中心,可进行主机防御策略管理、信任链构建管理、虚拟机迁移可信支持管理、虚拟可信模块管理、可信模块安全参数管理和统一审计管理等等管控功能。
据悉,浪潮推动并实现了在TPM2.0标准版本上,中国商用密码管理规范标准算法SM2、SM3和SM4在云计算中的实际应用,支持并满足国内可信计算应用需求。并从云主机安全可信、软件的健康上线、云服务的受控访问、云数据的集中管控、云安全感知与服务、异地容灾备份,这个六大目标帮助云数据中心的运营管理者达成目标。
浪潮基于可信服务器的云主机安全可信解决方案将提供从硬件平台、云操作系统到应用容器的三层安全可信防护体系,从“源头”为云计算提供更好的安全可控防护,消除企业在部署云计算时的最大担忧,为客户构建安全可信的云。