2019杭州雲栖大會雲安全峰會專場,由阿裡雲智能首席安全架構師、可信技術大咖李曉甯帶來以“零信任網絡:應用可信架構建構安全系統”為題的演講。本文首先對零信任網絡到底是什麼進行了介紹;接着介紹了傳統可信計算技術及産品能力;最後對阿裡雲加密計算技術是如何發展的進行了介紹。
視訊直播回顧(請點選“9.27.PM——雲安全峰會”觀看)
以下為精彩視訊内容整理:
零信任網絡
我們去年在雲栖大會上已經釋出了整個阿裡雲基于硬體的可信架構,如今在已釋出的可信架構基礎之上,又推出了一系列的可信安全産品。接下來,今天主要分享的是如何基于這些功能産品去打造更好的零信任網絡産品。
零信任網絡已經越來越受到大家的關注,這個詞在近幾年非常的火,包括今年RSA上很多廠商都在提零信任網絡,還有各種産品都在往上靠。零信任網絡自身的興起是有一定原因的,在傳統的IT架構下,這個網絡的邊界是一個非常重要的依據去幫助企業劃分不同的區域,同時很多時候在可以信任的區域裡,很多企業通過簡化信任的基礎來提高信任的效率。事實上随着新技術的發展,雲計算技術和網絡本身的邊界已經開始經常性的發生變化,就使得整個單獨的依靠網絡來做加護面臨很多的挑戰。這些年來有大量的安全攻擊,這些攻擊在内網通過簡化的信任橫向移動造成了很大的影響,而零信任網絡就是要去解決這些問題的。零信任網絡通過在弱化網絡邊界的基礎上産生一套新的架構去避免這些已有的根據網絡邊界劃分的安全假設。在去年阿裡雲釋出的可信架構上,今年有新的産品已經落地,包括傳統的可信計算相關的産品,以及基于阿裡雲加密計算的産品,這些産品實際上和零信任網絡是可以結合起來的。
零信任網絡設計
零信任網絡比較經典的一個設計或者說業務元素主要包括這幾個方面,由于零信任網絡需要弱化網絡本身的鑒權機制,那麼本身如何去鑒别一個合法的通路,就是需要我們去準确解決的一個問題。那麼在零信任網絡架構下,大家更多的去依賴于可信的使用者通過憑證在可信的裝置上,對已有的資源進行通路。這裡的政策扮演着非常重要的角色,這些通路政策通過對這些憑證的檢查,能夠確定正确的資訊回報給使用者,而惡意的請求會被阻攔掉,這個時候在沒有内外網檢測的情況下,内外網也能夠獲得相同的内容。
使用者及裝置身份憑證的基石
可以看到,整個信任的憑證變得越來越重要,那麼怎麼樣去確定一個遠端的通路,來自的裝置是可信的呢?另外,使用者在做這些遠端通路和提供憑證的時候,這些敏感的資料、敏感的操作有沒有足夠的安全保護,這些都是我們需要解決的問題。
可信計算産品架構
接下來分享一下關于裝置可信的問題,基于傳統的标準TPM可信計算已經有很長的時間了。在傳統的架構上是通過一個可信根,接着在可信根的基礎上啟動鍊的度量,然後在整個TPM的可信根上都會存放整個狀态,那麼這個狀态在稍後做很多通路的時候,就需要作為憑證提供給伺服器。通過傳統的遠端證明技術,可以拿它來判斷這個裝置是不是在信任的一個狀态。
回到零信任網絡,裝置的管理是非常重要的一塊,我們通過産品能夠對這些裝置進行很好的初始化管理,特别是對它的相關密鑰進行管理,因為這些密鑰後期會用來作為裝置是否可信的一個憑證。當這些初始化可以正常完成之後,在每一次發起這些通路的時候,我們可以把基于TPM度量擴充的資訊作為憑證發送給遠端伺服器,這個時候就需要有一個可信的用戶端在本地去擷取這些資訊,同時這些資訊拿到之後需要發送給遠端伺服器。比如說有相關的遠端證明功能服務,這些遠端證明服務根據預先已經設定好的白名單就可以做一個合法的判斷,即目前的裝置是不是我的裝置,是不是我信任的裝置,同時這個裝置是不是營運在一個可信的狀态或者說一個正确的狀态。如果這個狀态并不是我們認可的,那麼我們可以通過報警的機制去發送到營運中心,向安全營運中心進行報警。這樣的整個流程或者說整個架構是一個非常典型的可信計算産品架構。
專有雲可信産品
在專有雲3.8以後,整個雲平台側已經有整套的解決方案可以部署上去,去支援在雲平台側的平台可信。大家可以看到,這個能力和零信任結合起來後,這個能力很好的解決了裝置的可信任問題,可以幫助伺服器去鑒定這個裝置是不是一個可信的裝置。除此之外,對于應用程式在專有雲3.8之後,增加了白名單的功能,通過對應用程式行為的識别和白名單去做判定,進而防止惡意的攻擊。在專有雲3.8之後,平台可信以及應用可信都已經可以作為商業化産品輸出進行售賣。
公有雲可信計算産品
目前,在公有雲上已經開始部署在雲平台側的可信解決方案,包括我們的機器通過整套的解決方案進行初始化,然後部署在用戶端。通過部署可信服務和營運中心打通,在整個過程中確定機器可信的狀态。在公有雲上,還提供了另外一個非常重要的功能,就是虛拟可信根。在整個虛拟化架構或者說公有雲架構下,阿裡雲基于實體的TPM有這樣的可信能力。此外,還需要通過軟體的形式把它透穿到虛拟化裡,通過確定實體可信對整個虛拟可信根進行度量以確定它的安全性。在此基礎上會把它作為一個虛拟裝置導出給虛拟機,目前已經具有可以線上上支援VTPM的ECS執行個體。
加密計算技術及産品能力
阿裡雲加密計算技術
在傳統可信架構上,阿裡雲已經釋出了一些産品,使用者可以很好的用這些産品去打造裝置可信部分。在可信執行環境上,作為另外一個非常重要的部分,阿裡雲推出了加密計算技術。在這裡列出了從推出加密計算技術開始到今天主要的節點,包括在2017年雲栖大會上正式釋出的加密計算技術以及在2018年正式釋出的商業化産品,之後在此基礎之上進行了擴充和技術創新,在去年釋出了基于FPGA和網卡的加密計算技術,再之後跟一些廠商、軟體廠商達成了商業合作,同時也釋出了基于阿裡雲加密計算來進行密鑰保護的阿裡雲區塊鍊服務。
Graphene-SGX Golang支援
接下來分享一下最新的産品和進度,首先今天的加密計算技術是基于Intel SGX技術,這個技術需要開發者重新編碼,這會給開發者帶來額外的開發成本。如何讓沒有修改過的代碼可以直接運作在SGX保護區域内部,這是一個公開的技術挑戰。Graphene是一個開源軟體,Graphene SGX試圖去解決編譯好的軟體,不需要重新編譯就能夠運作在SGX内部的這樣一個問題。但是今天尤其是在雲上有很多的使用者可以用各種程式設計語言,包括Golang。Golang是一個非常流行的語言,這個語言解決的一個很重要的問題是整個環境一緻性的問題。通過GO語言程式設計式的依賴性非常低,這樣的好處是相容性各個方面非常容易,但是對于Graphene SGX,Golang編譯出的程式包含很多指令,這些指令是不能夠運作在SGX裡的,是以阿裡雲就這個問題和英特爾展開了合作,在Graphene SGX上共同開發了對Golang語言的支援,可以讓在Golang上開發的程式不需要任何的修改就可以運作在Graphene SGX上。
全加密資料庫釋出
另外一個是全加密資料庫,所謂的全加密資料庫更多的是在網絡傳輸、磁盤加密以及動态運算時全部支援加密保護,這裡其實最核心的是在運作時的動态保護。全加密資料庫是阿裡雲的資料庫團隊以及達摩院一起聯合開發的一款産品,它通過讓使用者完整的控制密鑰,并且隻在使用者加密的資料在伺服器需要運作時,才從使用者那裡通過保護SGX環境來獲得密鑰的方式來降低攻擊。那麼也就是說,如果整個系統被攻擊,但是無法通路SGX裡保護的資料,就依舊拿不到敏感資料,進而攻擊失敗。
全加密雲資料庫PostgreSQL版
阿裡雲團隊經過很長時間的研發,釋出了一款全加密雲資料庫産品,這個産品能夠幫助雲上的使用者保護資料。
Gartner2019年雲安全技術成熟度曲線報告
今年Gartner釋出技術成熟度曲線如圖所示,首次把機密計算放進雲安全技術成熟度曲線中,這也就說明Gartner作為非常重要的分析機構,他們開始意識到SGX對雲安全來說是非常重要的技術方向。同時阿裡雲作為典型的雲廠商入選到這個報告之中,通過兩年多的技術布局在加密計算技術上,我們推出了衆多的産品和新的技術。
2019首屆SGX應用創新大賽
為了進一步推廣加密計算技術,今年阿裡雲還和浙江大學合作,聯合舉辦了2019年首屆SGX應用創意大賽,實際上阿裡雲在SGX技術或者說加密計算技術的應用上已經走得非常遠了。阿裡雲做了大量的應用程式改造,在很多場景下都開始應用加密計算技術來解決資料安全問題。但是阿裡雲想在整個生态或者說整個行業,讓更多的人參與進來,是以提供了這樣的一個機會,希望大家可以一起來參與,然後把大家的想法、創意提出來,進而讓更多的人意識到這個技術的重要性以及有更多的應用場景。
機密計算聯盟
機密計算聯盟是Linux開源基金會組織的一個新的聯盟,阿裡雲作為一個初創會員在8月份已經加入了這個組織,這個組織的目的就是通過整個行業上的聯合,通過開源社群的力量,進一步推動機密計算技術在工業界的落地。阿裡雲加盟進去也是希望能夠和整個行業、整個生态在一起進一步的推動機密計算技術在行業上的落地,能夠通過各種新的産品和解決方案來幫助使用者,讓他們的資料更加的安全。
阿裡雲加密計算技術進展
加密計算技術演進
加密計算技術的演進如圖所示,在2017年開始推動加密計算技術,那個時候的IntelSGX1.0記憶體比較小,是以在開始階段很多公司開始用,但是大部分都是區塊鍊公司,這個也是非常容易了解。對于區塊鍊而言,它的密鑰保護至關重要,智能合約對記憶體的消耗比較小,是以這些公司通過記憶體比較小的Intel SGX技術也一樣的能夠解決他們的問題。去年為了解決記憶體的問題,開始和英特爾以及Mellanox合作,把加密計算技術分别擴充到FPGA和網卡上,這隻是剛剛開始的一步,在以後英特爾會推出IntelSGX2.0技術。在這個上面,阿裡雲會在處理器的大記憶體上進行進一步的拓展,然後通過處理器大記憶體來實作在處理器上支援大資料運算這樣的場景。将來阿裡雲還會盡可能拓展,把基于SGX技術的應用環境進行擴充,然後在整個虛拟化層面上去支援加密計算。
零信任網絡中的經典應用
回到零信任網絡上,大家可以看到我們已經釋出的這些技術和産品,其實非常好的解決了兩個問題。如果在零信任的網絡上,需要非常嚴格的對使用者和裝置進行信任的認可,那麼可以通過可信計算或者加密計算技術去分别解決平台的信任問題,以及使用者或者應用憑證自身的信任問題,這裡頭當然包括了在運作時通過SGX這樣的技術去保護使用者的憑證,確定系統更安全的問題。
零信任網絡的信任基石
可信計算技術可以很好的解決零信任網絡裡面的裝置信任問題,同時加密計算技術也給零信任網絡中使用者、應用的可信憑證提供了更強的保護功能。