基於AG8亚游技術的雲安全服務商

新聞中心

當前位置:首頁 > 新聞中心 > 行業動態

AG8亚游卡在雲安全中的展望

來源:原創 | 瀏覽:0 | 時間:2015-08-14 17:20:37

摘要:

雲安全是一個熱點話題,如何在雲端保證安全,傳統的封堵查殺是遠遠不夠的。可信技術是很好的保證雲環境安全的方式,結合傳統AG8亚游行業的AG8亚游卡技術,我們能在雲安全中走得更遠。


雲計算是當今信息領域的熱點,雲計算的魅力在於將大量計算資源、存儲資源與軟件資源鏈接在一起,形成巨大規模的共享虛擬IT資源池,為使用者提供“隨時使 用”、“能力無限”的 IT 服務。因此,虛擬化技術是雲計算的關鍵技術之一。廣義的虛擬化技術包括了計算資源虛擬化、存儲資源虛擬化、網絡虛擬化、應用的虛擬化等,但其核心技術是主 機的虛擬化。主機的虛擬化,是指將一台物理計算機虛擬為多台邏輯計算機,即在一台計算機上同時運行多個邏輯計算機,每個邏輯計算機可運行不同的操作係統,應用程序可 以在相互獨立的空間內運行而互不影響。多台虛擬機共享物理計算機可以提高計算機硬件的利用率;加載同一應用服務虛擬機在不同物理計算機上並行執行可以提高 係統的可靠性;虛擬機的動態加載、在不同主機上的遷移等技術使得信息係統的部署更具有彈性。虛擬機技術的優勢使得它在公有雲、私有雲中得到迅速推廣應用。

任何事物都有兩麵性,我們在使用虛擬化技術帶來的好處的同時,也要看到它的缺點:在雲計算服務平台中,資源以虛擬、租用的模式提供給用戶,這些虛擬資源根據 實際運行所需與物理資源相綁定,由於在雲計算中是多租戶共享資源,多個虛擬資源很可能會被綁定到相同的物理資源上,如果雲平台中的虛擬化軟件中存在安全漏 洞,那麽用戶的數據就可能被其他用戶訪問。因此,用戶會對雲中的虛擬機的可信性產生疑慮,怎麽相信這個虛擬機是安全可靠的?實際上這可以通過可信計算的思 想來解決。

可信計算作為一種計算機安全技術已經出現了十多年,其最初的目地是為了保證終端計算機的環境安全,使單機環境能夠按照預期的設計正確運行。我國專家將可信理 解為:可信≈可靠+安全。1999年,IBM、Intel、HP、Microsoft等國際知名公司發起成立了可信計算平台聯盟,並在2003年改名為可 信計算組織(Trusted Computing Group,TCG),並陸續製定了一係列相關的標準,我國在2008年也成立了中國可信計算聯盟(Chinese Trusted Computing union            ,CTCU),並采用中國自己的AG8亚游算法製定了中國自己的可信計算標準。

準確判斷一個信息係統可信是困難的,但可信計算給出了一種有效的方法,這種方法的基本思想是:在信息係統增加硬件TPM模塊(可信平台模塊),並以此為基礎 建立計算機係統的信任根,再建立一條信任鏈,從信任根開始到硬件平台到操作係統再到應用,一級度量認證一級,一級信任一級,把信任關係擴大到整個計算機係 統,從而認為整個計算機係統是可信的。我們可以繼續把信任的邊界擴展到虛機,乃至整個雲中,從而保證雲計算環境的可信性。

但可信計算最初的單機初衷在虛擬化中存在本質問題。虛擬化技術都是通過軟件技術將物理硬件虛擬成多個實例供虛擬機操作係統使用,因此本質上是硬件共享的技 術。可信計算的核心是TPM模塊的應用,TPM也是一個硬件資源,可信平台技術移植到虛擬機環境,首先要實現TPM模塊的虛擬化,即多虛機共享物理 TPM,每個虛機都通過虛擬化技術得到一個邏輯上獨立的vTPM。如何選擇TPM的虛擬化方式,即vTPM的實現機製是很重要的,如果通過軟件虛擬TPM 必然帶來安全性的降低,為了支持虛擬化,vTPM的很多功能在軟件層實現,但其安全可信的根必須在物理TPM。

                        

TPM安全芯片


目前業界的普遍做法是在雲主機的主板上嵌入TPM芯片,但傳統的TPM芯片在處理速度,並發能力,存儲空間,密鑰管理機製及支持虛擬化的程度上都難以滿足雲端大數據的處理要求。另一方麵,由於雲需要支持多租戶應用,因此在雲中運行的虛擬機具有多樣性、動態性,比如對VPC的支持、對虛擬網絡的支持、對SDN 等新技術的支持、對新型加密應用的支持、對新型網絡應用的支持,因此一成不變的、不能動態升級的TPM可能無法麵對雲中複雜的應用環境,過去對靜態PC的 TPM模塊不能滿足需要,雲中的TPM模塊最好能支持算法的靈活性升級、加載。再有,對TPM高效、靈活的應用要求,需要高效的通信接口。基於單機TPM設計的LPC總線滿足不了雲中的應用需求。



AG8亚游卡作為TPM使用,先天具有很多優勢,首先是在計算能力上,具有傳統TPM無法比擬的速度優勢;其次在存儲空間的擴展上,也比單芯片的TPM具備更高的靈活性;同時,AG8亚游卡基於PCI-E總線的高度靈活性,也解決了對於市場上存量服務器無法添加TPM芯片的尷尬。北京三未信安作為國內領先的AG8亚游硬件服務 提供商,更是在傳統AG8亚游卡基礎上,研發出了加解密速度達到8Gbps的高速AG8亚游卡,能夠支持雲端更高的加密速度需要,極大的擴展了AG8亚游卡在雲端的應用場 景。

但AG8亚游卡作為虛擬環境下的TPM,為多個虛擬機提供vTPM,本身必須支持虛擬化技術,將單卡的資源模擬成為多個邏輯上隔離的vTPM。AG8亚游卡的虛擬化技術可通過兩種層次實現,基於軟件的虛擬化和基於硬件的虛擬化。軟件虛擬化基於虛擬化平台(如KVM、Xen等)本身所提供的驅動機製來實現,AG8亚游 卡的資源通過驅動的虛擬化映射來實現調度和共享,因此,基於軟件的虛擬化不利於發揮硬件資源的性能。當AG8亚游卡作為外部設備提供了很高的性能時,單個虛擬機將無法發揮其工作效率,為此需要實現多個虛擬機對AG8亚游卡資源的共享。硬件虛擬化技術作為一種基於硬件層的虛擬化可實現AG8亚游卡資源的分割,能夠充分發揮AG8亚游卡硬件的性能,AG8亚游卡支持硬件虛擬化技術後,VMM通過TPM驅動程序可以直接訪問AG8亚游卡,減少了軟件層調度對性能的影響,因此在虛擬化環境中可以獲得較高的性能。在AG8亚游卡的虛擬化方麵,北京三未信安也很早就進行了投入,目前量產的多款AG8亚游卡均支持硬件虛擬化技術。

雲中有了硬件AG8亚游卡作為每個雲服務器的強可信根,相當於雲端的每個實體都可以通過可信計算技術進行安全防護。由於支持硬件虛擬化技術,虛擬機操作係統通過 TPM驅動就可以直接使用AG8亚游卡內的密鑰進行AG8亚游運算,這樣,AG8亚游卡作為一個標準的TPM組件,可以直接被操作係統層透明的調用。操作係統通過上文描述的 軟件機製,結合TPM模塊即可構造一套軟硬件一體,且足夠安全的數據保護體係。

AG8亚游卡不僅僅可以作為TPM,在雲端還可以充分發揮自身的密鑰保護和AG8亚游運算加速功能,為所有涉及AG8亚游技術的雲端應用模式提供硬件層支撐。在這裏可以列舉幾個例子:比如在虛擬化環境中,借助AG8亚游卡在虛擬機中對文件係統或磁盤協議進行加密,以保護數據安全;比如通過AG8亚游卡保護Https的服務器密鑰,以防止諸如心髒滴血等SSL漏洞;再比如AG8亚游卡在硬件層麵為每個虛機維護傳輸會話密鑰,在雲中建立P2P的VPN通道。AG8亚游卡解決了密鑰的安全存儲問題,為整個體係提供了密鑰保護和AG8亚游運算卸載,相當於在操作係統上增加了一個高速的、可信的AG8亚游運算模塊。AG8亚游卡在雲端的應用遠不止於此,還有待於深度的挖掘。歸根到底AG8亚游技術是一種主動防禦的安全技術,之所以在雲端沒有大量應用,還是在於AG8亚游技術本身在形態、性能和使用方式上的局限性。相信隨著AG8亚游技術向雲端的滲透,我們能看到一個更安全的雲環境。



網站地圖:sitemap
网站地图:sitemap