阿里云致力于通過技術手段(硬件加密、隔離、用戶審計能力等)為您提供安全可靠的隔離計算環境,并在此基礎上為您提供了不同等級的安全保護能力,以滿足不同用戶對安全和性能的要求。
概述
當前阿里云主要提供默認內存加密、可信計算(vTPM)能力和機密計算(機密虛擬機Confidential VM和Enclave)能力。
默認內存加密:內存加密可以加強內存數據的抗物理攻擊能力,進一步提升云上數據的安全性。您無需對操作系統或應用進行任何改動,即可享受到更高一層的安全防護。目前僅通用型實例規格族g8i默認支持內存加密。
可信計算能力:可信實例通過利用虛擬化層面的可信能力vTPM作為可信根,可實現ECS服務器的可信啟動,并提供實例啟動過程核心組件的校驗能力,確保零篡改。
機密計算能力:通過CPU硬件加密及隔離能力,提供可信執行環境,保護數據不受未授權第三方的修改。此外,您還可以通過遠程證明等方式驗證云平臺、實例是否處于預期的安全狀態。
Enclave安全能力:阿里云基于Intel SGX 2.0和阿里云虛擬化Enclave為您提供機密計算能力,此能力可以將可信根TCB大大減小,降低業務可能受攻擊和影響的范圍,可支持用戶打造更高安全等級的可信機密環境。更多信息,請參見構建SGX機密計算環境和使用Enclave構建機密計算環境。
機密虛擬機(Confidential VM)安全能力:機密虛擬機可以在無需對其應用進行任何代碼更改的情況下,將原有的敏感業務負載以加密運算的方式運行在云上,可以滿足您對敏感數據的保護需求。當前阿里云提供了基于Intel TDX和海光CSV的機密虛擬機能力。更多信息,請參見構建TDX機密計算環境和構建CSV機密計算環境。
安全能力概覽圖
安全能力最佳實踐
文檔內容是否對您有幫助?