阿里雲致力於通過技術手段(硬體加密、隔離、使用者審計能力等)為您提供安全可靠的隔離計算環境,並在此基礎上為您提供了不同等級的安全保護能力,以滿足不同使用者對安全和效能的要求。
概述
當前阿里雲主要提供預設記憶體加密、可信計算(vTPM)能力和機密計算(機密虛擬機器Confidential VM和Enclave)能力。
預設記憶體加密:記憶體加密可以加強記憶體資料的抗物理攻擊能力,進一步提升雲上資料的安全性。您無需對作業系統或應用進行任何改動,即可享受到更高一層的安全防護。目前通用型執行個體規格類型系列g8i、計算型執行個體規格類型系列c8i、執行個體規格類型系列預設支援記憶體加密。
可信計算能力:可信執行個體通過利用虛擬化層面的可信能力vTPM作為可信根,可實現ECS伺服器的可信啟動,並提供執行個體啟動過程核心組件的校正能力,確保零篡改。
機密計算能力:通過CPU硬體加密及隔離能力,提供可信執行環境,保護資料不受未授權第三方的修改。此外,您還可以通過遠程證明等方式驗證雲平台、執行個體是否處於預期的安全狀態。
Enclave安全能力:阿里雲基於Intel SGX 2.0和阿里雲虛擬化Enclave為您提供機密計算能力,此能力可以將可信根TCB大大減小,降低業務可能受攻擊和影響的範圍,可支援使用者打造更高安全等級的可信機密環境。更多資訊,請參見構建SGX機密計算環境和構建Enclave機密計算環境。
機密虛擬機器(Confidential VM)安全能力:機密虛擬機器可以在無需對其應用進行任何代碼更改的情況下,將原有的敏感業務負載以加密運算的方式運行在雲上,可以滿足您對敏感性資料的保護需求。當前阿里雲提供了基於Intel TDX的機密虛擬機器能力。更多資訊,請參見構建TDX機密計算環境。
此外,阿里雲在ECS宿主機上部署了自研的Ali-PRoT(Platform Root-of-Trust)硬體安全晶片,無需額外配置,即可提供開箱即用的底層硬韌體安全保障。其核心能力包括:
韌體主動度量:在宿主機啟動前,PRoT會對BIOS、BMC等韌體進行完整性驗證。相比傳統的被動記錄方式,PRoT能在韌體執行前主動發現並攔截潛在風險,僅允許驗證通過的伺服器啟動,從源頭保障宿主機安全。
運行時防篡改:在宿主機運行中持續監控韌體讀寫,即時攔截未授權的訪問與修改,確保業務環境始終可信。
硬體身份認證:基於晶片提供的硬體唯一標識,配合雲平台安全管控系統,實現物理伺服器的可信認證,有效防止非法裝置接入雲平台,進一步提升雲平台的整體安全水位。
安全能力概覽圖
