1、基于可信计算与加密计算打造云上原生计算安全姬少晨阿里云智能 弹性计算高级产品专家路放阿里资深安全专家阿里云可信云硬件架构最佳实践TPM2.0/TCM/TPCMBIOSBMCNICFPGAGPU启动程序内核应用程序虚拟化可信根及虚拟化系统可信加密计算加密计算加密计算运行时可信启动链可信����硬件固件安全系统可信根 硬件信任根 硬件固件�������安全 系统信任链 可信执行环境基于不同软硬件技术的高安全等级实例虚拟可信根第七代实例安全特性从底层硬件到应用的完整信任链保护SGX第七代安全增强型实例基于Intel SGX 2.0的虚拟化实例虚拟化Enclave第七代实例安全特性基于第三代神龙架构的虚拟化EnclaveS
2、EV测试实例邀测基于AMD SEV的机密虚拟机阿里云 第七代实例支持虚拟可信根特性 硬件安全能力透出,云原生企业级安全 完整信任链,覆盖云环境全部五个层面的完整可信解决方案,对抗底层攻击与未知威胁 向企业用户开放虚拟信任根和可信服务的API,提供可信计算与密码学功能通过可信启动对抗bootkit/rootkit传统安全软件启动顺序在启动固件、系统引导程序、����操作系统之后难以确定启动链是否被篡改,检测对抗手段易被绕过操作系统操作引导程序启动固件信任根传统安全软件恶意程序漏洞攻破植入难以全面检测、对抗启动度量、完整性校验可信启动信任根介入在启动固件、系统引导程序、操作系统加载之前能够实现从首指令开始
3、对系统启动链的完整性校验,有效发现恶意攻击具体案例boothole攻击者能够攻击grub2(bootloader),植入后门通过硬件可信,能够原生对抗此攻击攻击�����者阿里云 第七代实例支持虚拟化Enclave特性虚拟化隔离的执行环境计算资源动态切分虚拟可信根度量可验证的密码学远程证明移除网络、持久化存储,缩减攻击面仅允许VSOCK访问交互可信虚拟机A可信云平台物理可信根(TPM/TCM2.0/TPC������M)ENCLAVE可信虚拟机B虚拟可信根同一个虚拟机内,Enclave与外部环境强隔离虚拟机间强隔离阿里云 第七代安全增强型SGX实例商业化发布vSGX2.0技术支持大内存可信系统引导程序、操作系统神龙
4、服务器+物理可信根平台可信客户端度量/验证虚拟可信根+vSGX2.0虚拟机可信终端虚拟机可信系统引导程序、操作系统搭载第三代英特尔至强处理器的芯片级安全实例支持Intel SGX 2.0,最大可支持TB级机密内存提供基于DCAP技术的阿里云远程证明服务阿里云 SEV测试实例邀请测试基于AMD SEV的芯片级安全加密虚拟化虚拟机内存加密加密引擎内存神龙虚拟化加密虚拟机加������密虚拟机加密虚拟机阿里云发布支持TDX技术基于In�������tel TDX技术提供高安全等级实例,打造云上原生计算安全阿里云发布专有云可信解决方案针对电力、金融、政务等关键信息基础设施基于硬件和OS原生安全机制,对抗底层高等级安全威胁boo
5、tkit/rootkitAPT攻击数据勒索以安全芯片为可信根,构建贯穿物理机、虚拟机的完整信任链,在系统启动和运行时实施严密保护,与云盾形成互补搭配。可信启动情况可信安全事件展示与处置阿里云提供多场景公共云及专有云系统可信解决方案系统可信解决方案是阿里云发布的实例级����安全增强产品,基于可信计算技术,构建虚拟实例及云平台的完整信任链,监控云平台及实例系统启动组件及用户指定应用完整性,对抗底层攻击与�������未知威胁,并支持用户二次研发,适用于对高等级安全环境以及安全合规有强需求的客户。等保2.0能源、金融、政务等行业的底层系统与高等级安全架构可信计算是等保2.0重要的新增项设备身份&远程证明最佳实践扩展研发
6、系统可信&应用������可信对抗底层攻击对抗未知威胁标识硬件与实例身份,天然解决零信任场景第一道难题证明安全状态,将东西流浪从“安全”变“可信”样例代码开源可信服务与虚拟信任根API公开支持用户根据自身情况二次研发业内首家公有云上银行企业级安全环境建设容器云业务调度等二次研发阿里云机密计算开发套件TEE SDKTEE SDK为开发者提供机密计算原生开发工具,并支持多种机密计算平台且具有良好的兼容性与功能支持,使开发者能够更方便的基于阿里云机密计算基础设施开发应用。机密计算生态应用开发工具机密计算生态应用机密计算生态应用机密计算生态应用可信功能库远程证明Java NativeSGX虚拟化EnclaveSE
7、V(计������划)TDX(计划)TEE SDK阿里云发布DataTrust隐私增强计算平台DataTrust是阿里云发布的隐私增强计算平台SaaS产品,基于机密计算技术,使数据在传输、存储、计算的过程中得到全面保护,满足像金融、政�������企、电商等拥有海量复杂数据的客户要求,适用于高数据安全使用场景。场景应用产品架构全域精细运营联合智能风控广告推荐医疗健康产品服务联合健康联合预测联合洞察算法定制安全调度中心数据管理密钥管理远程证明任务管理共识审批安全加密终端节点安全加密终端节点核心技术可信执行环境TEE多方安全计算MPC联邦学习FL差分隐私DP王恒 网商银行高级技术专家嘉宾云上企业可信环境落地实践THANKS
sgpjbg002
工作日 8:30 - 17:30
报告分类
