压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

面對日益嚴峻的云安全環(huán)境，一些主要的云供應商正試圖通過一系列舉措，來減少對虛擬機和云應用容器的威脅，例如，通過強化虛擬機的操作系統(tǒng)鏡像，以及使用“機密計算”模型防止底層機器操作系統(tǒng)提供訪問權(quán)限等等。

但是，目前來說，這些方式都需要對應用程序或者容器進行特別構(gòu)建，以便其能夠在“可信任”的環(huán)境中運行，而且它們在保護所有的云應用程序中并不能發(fā)揮實際的作用。

為了更好地應對這一系列挑戰(zhàn)，近日，谷歌推出了一款名為“Shielded VMs”的Beta版專用虛擬機，用于確保虛擬機不會被篡改來運行脆弱的代碼，以供用戶監(jiān)視虛擬機狀態(tài)基線或其當前運行時狀態(tài)中的任何修改，并及時作出響應。

現(xiàn)在，該公司正在發(fā)布有關(guān)該Shielded VMs如何保護云免受攻擊媒介侵擾的詳細信息，這些攻擊媒介包括guest系統(tǒng)固件，通過惡意guest-VM內(nèi)核或用戶模式漏洞的guest操作系統(tǒng)，以及惡意客戶內(nèi)部人員篡改guest-VM映像等。當受感染的VM啟動時，在其中安裝的固件rootkits或其它頑固惡意軟件等威脅通常將無法檢測到。

谷歌云高級產(chǎn)品經(jīng)理Nelly Porter和Google云安全技術(shù)項目經(jīng)理Sergey Simakov，在近日發(fā)布的博客文章中解釋稱，Shielded VMs具有安全功能，能夠保護云中的代碼。據(jù)悉，Shielded VMs使用了基于固件的UEFI Secure Boot（UEFI安全啟動），且該固件是基于UEFI 2.3.1的，取代了傳統(tǒng)的BIOS子系統(tǒng)。

Shielded VMs還使用了虛擬可信任平臺模塊（virtual Trusted Platform Module，簡稱vTPM），這一模塊能夠驗證guest VM預啟動的完整性，并生成和存儲加密秘鑰。這些秘鑰能夠用于安全啟動，保證虛擬機只能運行經(jīng)過認證的軟件，以及允許guest操作系統(tǒng)創(chuàng)建和保護密鑰及敏感數(shù)據(jù)。此外，vTPM還需要啟動Measured Boot（測量啟動）來檢查之前的虛擬機配置基線，以便在啟動虛擬機之前對虛擬機的完整性進行更好地控制。

vTPM服務的目標，是為guest VM實例提供兼容TPM2.0和FIPS 140-2 L1認證的TPM功能。

而谷歌軟件工程師Josh Zimmerman在另一篇文章中又進一步擴展了vTPM的安全功能：vTPM的工作方式類似于TPM（可信任平臺模塊），它使用平臺配置寄存器（PCR）來記錄系統(tǒng)狀態(tài)。通過使用TPM的密鑰，vTPM可以提供一個PCR值的“引用（quote）”，以便遠程服務器可以驗證系統(tǒng)的狀態(tài)。而且TPM可以保護敏感數(shù)據(jù) – 例如，驅(qū)動解密密鑰，因此只有在系統(tǒng)狀態(tài)有效時才能訪問它們。

總結(jié)來說，Secure Boot（安全啟動）和Measured Boot（測量啟動）有助于防止guest操作系統(tǒng)在啟動過程中運行rootkits，以及運行內(nèi)核級別的惡意軟件。此外，這兩者還能確保用戶的VM啟動的是“已知的”固件和內(nèi)核軟件堆棧。其中，“安全啟動”可以確保系統(tǒng)運行合法軟件；而“測量啟動”則能夠驗證系統(tǒng)軟件和VM啟動過程的完整性。

最后，用戶可以通過StackDriver訪問Shielded VM的完整性報告；如果報告指出他們的VM不符合其安全標準，他們也可以制定自己的策略，甚至自定義操作。