可靠高性能 浪潮可信服務器打造可信云
責編:admin |2014-11-10 13:26:29“機遇總是留給有準備的人”,浪潮可信計算體系發展歷程再次印證了這個道理。棱鏡門持續發酵,“沒有網絡安全就沒有國家安全”已經上升為國家戰略。近日,浪潮發布了可信云主機安全整體解決方案,這一由下而上整套“可信計算”體系的背后,是浪潮7年堅持的結晶,“七年一劍”是浪潮在“可信計算”領域千錘百煉的真實寫照。
七年一劍浪潮可信計算體系厚積薄發
對于“可信計算”,浪潮集團信息安全事業部安全可信云主機產品經理劉剛認為,目前普遍認可的思路是,先在計算機系統建立一個可信的“根”,而這個可信的“根”就是通常所說的可信芯片(TPM安全芯片),可信芯片把“信任”通過BIOS、OS Loader等傳遞到操作系統,操作系統再把“信任”傳遞給應用層,最終把整個計算機系統的“信任鏈”建立起來。
浪潮可信服務器
“信任鏈”的基礎是TPM安全芯片,TPM安全芯片應遵循TPM協議規范,TPM1.2規范于2006年由國際可信計算組織TCG發布推廣。浪潮集團信息安全事業部副總經理蔡一兵博士介紹說,浪潮在2007開始專注可信計算,并對相關技術進行了深入和長期的研究。在2008年的時候,浪潮加入了可信計算標準活動組,2009年編制完成可信服務器規范草案。
今年4月份TCG正式發布TPM2.0的規范,TPM2.0對于虛擬化的支持也提出了重要的支撐點。緊隨其后,浪潮采用的國民技術TPM2.0芯片也量產出來。與此同時,浪潮加入中關村可信計算聯盟,任整機委員會的副理事長,主要牽頭推進整機服務、可信服務器的標準和產業化的應用。
8月份浪潮又完成了TPM2.0可信服務器樣機研發,并在9月份正式發布了該系列的兩路和四路可信服務器。10月在浪潮大會上,浪潮又發布了可信云主機安全整體解決方案。2014年對可信計算的布局,可以說是順應時勢、水到渠成,期間浪潮不但完成了從產品到體系的建設,也奠定了自己在可信計算領域的地位。
可靠高性能 浪潮可信服務器建基于自主可信芯片
浪潮集團信息安全事業部總經理張東透露說,TPM2.0規范達兩百多頁,其實它是一個很細的系統。相應的,開發支持TPM2.O規范的服務器主板BIOS,也不是一件容易的事情。但這些難題都被浪潮解決了,經過長時間的努力以及深厚的積累,浪潮可信服務器整機最終通過了各項復雜調試。
浪潮可信服務器建基于TPM2.0可信芯片,該芯片獲得了國家保密局的認證、算法方面符合國家的規定、由國民技術提供。采用了最新的英特爾雙路和四路處理器服務器平臺,在性能和擴展性等方面進行一個全面提升。為用戶打造一個高安全性、高性能和高可靠性的一個服務器基礎平臺。
在國家自主可控方面浪潮可信服務器有一個很好的根基,可以對服務器底層BIOS、OS Loarder,以及硬件里面的硬盤、PCI卡還有其他的一些硬件固件做完整性的校驗,已經建立起了一個完善的信任鏈。配合浪潮產品壽命系統、等級保護系統等,浪潮可信服務器非常適合像能源、交通這些影響面比較大的基礎系統。
浪潮可信服務器打造可信云主機
以可信服務器為根基,結合SSR等應用,浪潮建立起了一整套由下而上的可信計算體系,這就是“浪潮可信云主機安全解決方案”。該方案除了硬件層面的可信“根”,還有操作系統安全、操作系統加固,虛擬化的安全可信技術等,可以防止云主機虛擬化平臺被植入惡意代碼。
云主機引入了虛擬化的安全風險,TPM2.0對虛擬化的支持將“信任鏈”從底層可信服務器傳遞到虛擬化平臺,再傳遞到虛擬化平臺上的虛擬主機以及虛擬主機中的上層應用。在這個“信任”傳遞的過程中,可信服務器是整個云主機安全的根基。
浪潮針對虛擬化平臺環境開發了可信支持套件,能夠實現對虛擬主機內核、虛擬主機鏡像文件以及虛擬機里面運行的程序等進行完整性的度量。
可信計算最終保護的還是上層的應用程序,浪潮集團信息安全事業部副總經理蔡一兵博士如是說,浪潮自主研發的SSR把底層平臺可信價值和安全價值擴展到了應用層面,并最終校驗和保護上層的應用程序。SSR在整個可信云主機安全體系里面是很重要的,起到一個紐帶的作用。
SSR運行在操作系統內核里面,通過可信計算平臺能夠保證SSR不會被篡改。并且SSR要先于其他程序啟動,這樣一來所有受SSR保護的程序,都有一個可靠的根基。另外,SSR還會攔截應用程序對OS的調用,應用程序無論是進程操作還是注冊表操作SSR都可以進行控制。浪潮基于SSR實現了一個應用程序的安全運行環境。
從可信服務器到可信虛擬化、安全虛擬化還有應用安全,整個可信云主機安全體系中,一方面浪潮建立了一個以可信芯片為起點的可信平臺,對傳統的操作系統還有虛擬化環境都有很好的支撐,這是一個應用程序或者說業務程序運行的一個基本平臺。另一方面浪潮以SSR為起點建立了應用程序的“信任鏈”,SSR是整個云主機安全體系的紐帶,SSR把底層平臺的安全特性傳遞到最上層的應用程序。
浪潮可信云主機安全平臺是完整的,這種平臺的完整性是可以檢測的。在整個可信云主機平臺里,浪潮以可信服務器為根基,建立起了從底層硬件到操作系統,再到虛擬化平臺,再到虛擬化應用的完善“信任鏈”。如果沒有可信服務器做根基,就沒有虛擬化的安全,云主機安全也無從談起。