BCS嘉宾风采|李晓宁:从云计算角度出发如何应对可信技术的关键挑战
发布日期:2019-09-12 作者:BCS官网
站在云计算的角度上,可信技术的关键挑战是什么?从硬件到固件,到启动程序,到虚拟化,到内核,到应用,整个信任链的建立过程应该怎么样去保障?
李晓宁表示,如今阿里已经部署了大量基于TCM、TPM2.0的服务器,以它作为信任根,来扩展在服务器主系统上信任链的打造。其次,把信任链扩展到虚拟化的客户层,在信任链上从虚拟化层通过VPM设备,拓展给客户。最后真正利用这些技术,给云平台上的客户带来一个值得信任的信任根,帮助他们扩展整个可信到业务层面。
在服务器子系统的信任根和信任链保障方面,李晓宁说到:“我们有BMC,我们有网卡,我们有很多的外设在服务器上,这些都是必须要给云计算提供基本功能的外设。在这个上面我们也做了大量的安全加固,从内生安全的角度解决这些固件的安全问题。在BMC方面,我们做了大量的BMC加固,确保BMC是被管理隔离起来的,不会被别人篡改。在网卡方面,我们和厂商一起合作,加入了包括签名这样的安全功能进去,确保只有厂商和阿里云共同签名过的固件才有可能被刷新进去,进一步保障了整个固件的安全,也就是子系统的信任链。”
除此之外,李晓宁还向现场嘉宾介绍了在计算单元里面,如何确保计算单元内部的可信执行环境。他说:“站在内生安全的角度来说,我们在2017年发布了阿里云的加密计算技术,从18年4月到今天,我们在公有云上提供了1.0的服务器给用户,用户可以写代码,被CPU内生的安全机制保障保护起来的代码是不能读取也不能篡改的。此外,我们还和英特尔一起合作,推出了基于FPG的加密计算,我们把可信执行环境放到FPG里面,可以给可信执行环境提供更强的保护。”
包括网络空间安全可信技术创新论坛在内,2019北京网络安全大会共设有3大主题峰会和40多场分论坛。来自中国、美国、以色列、俄罗斯、荷兰以及“一带一路”沿线相关国家、联合国和欧盟等国际组织的政要、学者、技术专家和行业领袖等逾千位嘉宾,就全球范围内政、产、学、研、用各界在网络安全领域的交流与合作,旨在推动网络安全产业向更宽领域、更深层次、更高质量发展。