小書生最近在瘋狂地學習,接下來将為大家分享雲計算相關的科普文章,今天給大家介紹一位新朋友。
他的名字叫“可信計算”。我們雲安全技術小哥是這麼介紹他的(以下天書看不懂的可以忽略):
“可信計算是一種基于硬體裝置,通過信任鍊機制實作計算環境主動免疫特性的安全技術。相比傳統的主機安全技術,可信計算技術将安全建立在硬體信任根之上,而且具有主動性、事前性以及所建構環境行為可預期的特點,是以适用建構高安全等級計算環境。”
—By一本正經的安全小哥
呃,這什麼?
小書生心中想的隻有三個字
請說人話!!!
(激動了,其實是四個字)
安全小哥馬上開啟科普達人模式
“可信計算就是一個嚴謹到極緻的強迫症,什麼東西都要按他的理想狀态放好,不能讓别人改,否則就渾身不舒服。”
話說,可信計算就像一個超級靠譜的長租較高價的電梯大廈管家:他會事先整理出一個新房傳遞的标準,每次新租客進來之前都檢查一遍,一定要保證跟理想情況一緻:甲醛、噪音、清潔度……最後打分,不是100分?我要報警啦~
“可信計算最重要的價值,就是防止被篡改。它會事先建構關鍵環節的标準值,追求每次狀态都跟标準一緻,否則就認為有東西被篡改了,将會告警。”
有同學可能會說,太靠譜了。但真的需要這麼苛求嗎?而且完全跟理想情況一樣很難吧?
在雲的世界裡,還真的就需要這麼嚴苛。代碼組成的世界,寫錯一個标點符号,都會出bug。
大家想想,今天,不論是我們的身份管理、購物流水、就醫記錄,甚至是貨币,都已經電子化了,大多數都已經上雲了。在我們看不到的風平浪靜下面,其實數字守衛一直在跟黑客鬥智鬥勇。
比較常用的安全防護方法,就是時刻檢查哪裡有安全漏洞,并盡快把這個漏洞堵上,或者設定很多安檢和權限管理,每次進來之前都要驗證身份。
這些方法在長期的鬥智鬥勇過程中,其實已經很先進了,不過安全專家在想:發現漏洞再補上,這些都是事後的、被動的,要是敵人已經打入内部那怎麼辦?
是以,他們就發明了“可信計算”。大緻原理是事先做好一個标準計算環境,生成一個标準值用于後續校驗。每次啟動這套環境時都會将這套環境與基準值做對比,保證運作符合預期。
我們以作業系統啟動作為一個例子,在計算機的世界裡,作業系統就像一個排程中樞或者地基,其他衣食住行相關的應用,都跑在它上面,作業系統管理者擁有很高的權力。一旦作業系統被攻破了,上層的應用都淪陷了。
保證作業系統的值得信任,就是非常關鍵的操作。作業系統在啟動的時候,需要很多檔案和程式的參與,隻要保證裡面沒有檔案被篡改、沒有惡意代碼,就可以認為是安全的。利用可信計算,安全人員可以實作建構一個作業系統安全啟動的狀态。
這個狀态會存在一個非常難被攻破的安全晶片(就像保險櫃)中。
之後,每次電腦開機,這個安全晶片都會檢查一下啟動狀态,一旦這個狀态跟原來的不一樣,就會報警。否則就認為這次啟動時可信的。
可信計算跟之前傳統的安全方案兩大差別
1、可信計算是基于硬體的方案,可以預防底層攻擊。标準值的度量、存儲、報告,都由安全晶片或其他硬體固件形态的可信根來負責。傳統的安全方案則是基于作業系統的安全,防毒軟體運作在作業系統之上,如果作業系統出現問題,或惡意代碼潛伏在作業系統層面以下,則防毒軟體可能無法發現攻擊。
2、基于主動性的、前置性的安全的方法,有預防性質。傳統的安全是用漏洞庫、病毒庫、木馬庫的方式,如果有一些漏洞、病毒、木馬沒有被收集起來,安全機制就會有問題。
可信啟動再加上嚴密的防守,使用者就可以保證作業系統是安全的。
目前,阿裡雲第七代ECS已經全系搭載了安全晶片,實作了伺服器和執行個體的可信啟動。讓雲伺服器實作更進階别的安全防護,遠離高等級威脅。同時,阿裡雲開放了可信技術接口,支援客戶根據自身需求進行的二次研發,建設高等級的應用安全環境。
也就是說,在阿裡雲上,使用者如果認為自己的某個應用特别重要,或者某個應用的某個環節特别重要,也可以利用可信計算的思路,建構一個安全的标準環境。每次應用啟動或者關鍵環節的時候,檢測一下,確定可信。
同時,從全球的政策與商業環境來看,可信計算将會成為一種标配。
國内外已有衆多國家或行業規範,明确要求資訊系統應用可信計算技術,比如我國的網絡安全法、等級保護2.0規範(GB/T22239-2019)等通用資訊系統安全标準,以及電力等部分行業性資訊系統建設标準中,都已經明确要求應用可信技術實作惡意代碼免疫以及環境可信驗證。
合理地應用可信計算技術與産品,還可以有效助力企業高分通過認證認可哦!不僅适合強迫症、安全控,還很适合學霸呢!
以上就是本期漫畫科普可信計算的全部内容了,你學廢了嗎?
相關推薦:
阿裡雲第七代雲伺服器ECS