利用可信任鏈技術 助力云數據中心安全
責編:admin |2014-11-16 17:52:59伴隨IT技術的不斷演進,云計算正不斷融入當代社會的各個領域,包括IT、商業都為此發生了翻天覆地的變化。在企業IT架構方面,云已逐步成為企業日常網絡應用中的重要組成部分。而作為云計算發展的基礎設施,數據中心的安全建設是保障云業務正常運轉和云計算安全的重要防線,并顯得尤為關鍵。
數據中心網絡面臨的安全挑戰
數據中心是以機房和網絡資源為依托,以專業化技術支撐隊伍為基礎,為各類用戶提供各種資源出租以及相關增值服務,并定期向用戶收取相應服務費用的一種電信級服務,是企業數據、應用大集中以及企業IT應用對服務提供模式的依賴的集中體現。
近十年來,隨著企業的高速發展和經營對數據依賴性的增長,數據中心向著更大容量、更高能力、超大規模、多種業務模式和運營模式共存的方向發展,而其所面對的各種網絡安全威脅也層出不窮。
隨著企業邊界被打開,企業無法自身完成所有的安全防護,而需要IT供應商、安全廠商共同幫助其在員工的個人設備、企業內部及產業鏈上下游共同構建安全防御和管理體系;同時在攻擊方式上,高級持續性攻擊(APT)和目標導向型攻擊(ATT)正成為重要的新攻擊手段。這兩種威脅目的性更強,且攻擊手法經過精心設計,特征極難發現。
而其他數據中心網絡安全所面臨嚴峻的挑戰還包括DDoS攻擊,黑客入侵,安全隔離,專屬安全防護需求,以及網絡性能瓶頸等多個方面。那么如何為云計算數據中心提供安全可信的運行環境,為客戶構建從硬件到軟件、從底層到頂層的平臺信任鏈呢?近日國內知名云計算整體解決方案供應商浪潮為云數據中心的建設帶來了新的安全利器。
為云數據中心打造可信任鏈
浪潮集團信息安全事業部總經理張東認為:“云數據中心作為信息資源的集中地和最頻繁的交換地,已經成為了安全事件的多發地,而威脅防護上的任何疏漏都可能造成無法彌補的損失。在數據中心從以物理服務器為核心,向虛擬化和云計算演進,并正在進入由軟件定義的下一代數據中心過程中,服務器作為云數據中心核心裝備的安全策略也需隨之更新。”
對此,浪潮近期發布了業內首款面向云數據中心的可信服務器,便是浪潮主機安全戰略的延續和落地。據悉,首批可信服務器包括了2路及4路機型,為云數據中心提供安全可靠的服務器基礎平臺,形成以可信服務器為基礎的云主機安全可信解決方案,填補了云計算安全領域的空白。該可信服務器是以可信芯片為起點,為客戶構建全方位的平臺信任鏈,從而營造安全可信的云數據中心環境。
浪潮此次推出的可信服務器采用可信安全模塊、安全主板、安全BIOS和安全軟件等技術,實現從關鍵部件的固件程序、虛擬化到基礎軟件系統的完整性度量和保護,有效防止了病毒、后門和木馬對系統運行環境的篡改攻擊;更可有效檢測硬件和基礎軟件層的APT攻擊,防止因固件和軟件漏洞導致的高級惡意代碼植入。
對于可信任鏈的建立,浪潮集團信息安全事業部安全可信云主機產品經理劉剛介紹到,通過信任鏈技術,將可安全模塊作為可信根,構建從服務器硬件到操作系統和應用程序等完整的信任鏈,來對抗惡意代碼的攻擊。具體是將可信根由TCM傳遞到操作系統,操作系統信任底層平臺,應用層再信任操作系統,如此一級一級的傳遞上去,最終把整個計算機系統的信任鏈建立起來。
劉剛表示,最終可信任鏈的體系里面有三個重要的特性,第一是建立可信的信息鏈,第二是標識平臺的身份,第三是要保持密鑰。而密鑰將是整個認證體系里面相當重要的部分。
首先,信任鏈建立后,用戶便可以對其完整性做一個度量和校驗。如果完整性被破壞了,用戶收到了來自平臺的不可信提示,那么用戶便可以選擇不去啟動該系統。通過完整性的校驗,可以保證服務器系統不會被惡意植入一些未知的代碼,這樣便能保證服務器系統在長時間的運行中同未部署時一樣安全。一旦可信任鏈建立了,用戶便可以實現抵御惡意代碼的攻擊,包括在硬件層面,系統層面和應用層面等方面的防御。
其次,標識平臺的身份。每個平臺的特征都是不一樣的,通過身份的標識能夠讓用戶知道這個平臺是否是可信的。因為在云計算環境里,企業租戶去購買一個虛擬機后,其可能不知道虛擬機在什么平臺上面運行,也不知道這個服務器平臺是不是可信,是不是可以控制。而平臺的身份標識,則可以在一定程度上解決這個方面的問題。通過完整性的度量,把該平臺的特征,進行展現、核實。
還有就是密鑰。劉剛表示,通過密鑰的安全固化,將其寫到GTM保護的區域里面,來提高密鑰安全性。
此外,軟硬一體的安全可信解決方案還包括了底層基礎核心及云計算數據中心間的管理和應用,在可信服務器與應用程序之間,浪潮SSR操作系統安全增強系統將起到承上啟下的作用。浪潮的SSR產品能夠從根本上對服務器操作系統的惡意攻擊免疫,將木馬、后門、沖擊波、振蕩波等蠕蟲類病毒和內外網的黑客攻擊拒之門外。
構建安全可信的云主機方案
目前,由于技術缺失和市場壟斷等因素的存在,行業信息化系統面臨隨時隨地威脅,黑客可能隨時輕易的利用后門、漏洞等便利條件,從主機系統中竊取重要數據。可信服務器作為主機戰略的延續,強化了云數據中心核心數據資產的保護,并帶動了芯片、處理器、操作系統、應用軟件等整個產業鏈生態發展的進程。
利用可信任鏈技術 浪潮助力云數據中心安全
同時,可信服務器是云主機安全可信的根基。浪潮云主機安全可信技術,將融合可信計算、操作系統加固、虛擬計算安全等技術,以可信芯片為根,構建鏈接固件、VMM、Guest OS和上層應用的信任鏈,來應對云主機的各種威脅。
對于浪潮安全可信云主機的產品架構,劉剛介紹到,在配備有可信服務器的安全可信云主機區,可實現在虛擬機里的OS可信引導,并可針對應用進行隔離保護,在防護功能上要較普通的安全云主機區更具優勢。而在云主機安全管理中心,可進行主機防御策略管理、信任鏈構建管理、虛擬機遷移可信支持管理、虛擬可信模塊管理、可信模塊安全參數管理和統一審計管理等等管控功能。
據悉,浪潮推動并實現了在TPM2.0標準版本上,中國商用密碼管理規范標準算法SM2、SM3和SM4在云計算中的實際應用,支持并滿足國內可信計算應用需求。并從云主機安全可信、軟件的健康上線、云服務的受控訪問、云數據的集中管控、云安全感知與服務、異地容災備份,這個六大目標幫助云數據中心的運營管理者達成目標。
浪潮基于可信服務器的云主機安全可信解決方案將提供從硬件平臺、云操作系統到應用容器的三層安全可信防護體系,從“源頭”為云計算提供更好的安全可控防護,消除企業在部署云計算時的最大擔憂,為客戶構建安全可信的云。