阿裡雲可信計算又一商業化成果落地，釋出系統可信解決方案

近日，為了不斷提升和優化雲環境的安全性及安全體驗，對使用者業務和資料的雲上安全實作更高安全等級保護，阿裡雲正式釋出系統可信解決方案。該産品與和10月份釋出的業界首個基于SGX2.0和TPM的虛拟化執行個體将形成有力呼應，标志着阿裡雲已具備提供完整雲可信産品的能力。

系統可信解決方案

可用于保護系統啟動過程中的關鍵元件以及使用者指定的關鍵應用，通過虛拟可信晶片裝置，提供完整性路徑成本存儲、完整性路徑成本報告、密碼學運算和密鑰管理等功能，并支援使用者進行上層安全機制二次研發。

虛拟可信晶片裝置：

提供可靠的完整性路徑成本存儲和報告功能，支援各類對稱與非對稱密碼學算法。使用者可基于這些功能自行實作零信任、安全環境證明和安全業務排程等。

目前國内外在商用雲計算環境安全保障領域，常見的安全機制依然是防火牆、入侵檢測等傳統安全機制。系統可信産品基于實體或虛拟安全晶片實作安全機制，則更加強調安全機制的可靠性以及保護周期的覆寫度，進而幫助使用者實作底層高等級安全，對入侵檢測等傳統安全機制實作了補充與增強。

作為業内首個可提供完善商業化可信虛拟化執行個體的雲廠商，阿裡雲從使用者看不見的基礎設施最底層開始提供安全能力，基于實體伺服器安裝的硬體可信晶片，保證系統啟動過程中的UEFI、BootLoader、核心鏡像和初始檔案系統等都被可靠度量和安全存證，在解決複雜場景、甚至在傳統IT環境中無解的安全問題方面，做出了創新的實踐示範：

• 有效對抗 RootKit/BootKit 等底層安全威脅：從實體機和虛拟化執行個體啟動開始，完整收集啟動過程中的關鍵元件資訊，及時、準确感覺系統狀态，識别傳統IT環境難以察覺的風險；
• 可靠證明系統啟動與運作狀态：基于數字簽名安全上報度量結果，将度量的狀态作為遠端證明依據；
• 零信任密鑰管理與密碼算法應用：依托vTPM，ECS環境在啟動時第一時間建立可靠的密鑰、申請證書并執行數字簽名和加解密等運算。

目前，國标等保（2.0）中1-4級均對可信計算技術應用提出明确要求。例如，在應用最廣泛的等保三級要求：“基于可信根對計算裝置的系統引導程式、系統程式、重要配置參數和應用程式等進行可信驗證，并在應用程式的關鍵執行環節進行動态可信驗證，在檢測到其可信性受到破壞後進行報警，并将驗證結果形成審計記錄送至管理中心”。

阿裡雲推出的系統可信解決方案，遵照上述要求和國内外可信計算标準，将可信計算相關功能無縫內建至可信執行個體C6T，實作關鍵資訊的提取和驗證。如果發現安全隐患，使用者在雲安全中心控制台執行個體詳情、安全告警以及ECS執行個體詳情等多頁面進行詳情提示。系統可信解決方案可有力地幫助使用者通過等級保護測評。

雲計算環境日漸成為影響國計民生的重要資訊基礎設施，建構安全可信的雲環境勢在必行。雲具備遠超傳統計算環境的複雜性、異構性和網絡連通性，雲原生疊代更新速度更是決定了留給安全技術進行環境适配的時間機會更少。引入硬體裝置作為系統的信任根基，基于硬體裝置以及跟蹤、隔離等技術手段建立可信的計算環境，有效把安全漏洞、惡意代碼和網絡攻擊等對雲計算環境的影響降至最低。