阿里雲致力於通過技術手段(硬體加密、隔離、使用者審計能力等)為您提供安全可靠的隔離計算環境,並在此基礎上為您提供了不同等級的安全保護能力,以滿足不同使用者對安全和效能的要求。
概述
當前阿里雲主要提供預設記憶體加密、可信計算(vTPM)能力和機密計算(機密虛擬機器Confidential VM和Enclave)能力。
預設記憶體加密:記憶體加密可以加強記憶體資料的抗物理攻擊能力,進一步提升雲上資料的安全性。您無需對作業系統或應用進行任何改動,即可享受到更高一層的安全防護。目前通用型執行個體規格類型系列g8i、計算型執行個體規格類型系列c8i、記憶體型執行個體規格類型系列r8i預設支援記憶體加密。
可信計算能力:可信執行個體通過利用虛擬化層面的可信能力vTPM作為可信根,可實現ECS伺服器的可信啟動,並提供執行個體啟動過程核心組件的校正能力,確保零篡改。
機密計算能力:通過CPU硬體加密及隔離能力,提供可信執行環境,保護資料不受未授權第三方的修改。此外,您還可以通過遠程證明等方式驗證雲平台、執行個體是否處於預期的安全狀態。
Enclave安全能力:阿里雲基於Intel SGX 2.0和阿里雲虛擬化Enclave為您提供機密計算能力,此能力可以將可信根TCB大大減小,降低業務可能受攻擊和影響的範圍,可支援使用者打造更高安全等級的可信機密環境。更多資訊,請參見構建SGX機密計算環境和使用Enclave構建機密計算環境。
機密虛擬機器(Confidential VM)安全能力:機密虛擬機器可以在無需對其應用進行任何代碼更改的情況下,將原有的敏感業務負載以加密運算的方式運行在雲上,可以滿足您對敏感性資料的保護需求。當前阿里雲提供了基於Intel TDX的機密虛擬機器能力。更多資訊,請參見構建TDX機密計算環境。