嘉宾演讲| 数博会官网

主讲

主旨演讲:可控可信云主机——构建大数据安全基石

  我给大家分享的题目是《可控可信云主机——构建大数据安全基石》。和传统的数据中心建设相比的话,有两个基本特征,第一个特征是大数据,第二个特征是云计算。大数据是资源,只有经过深度挖掘以后它才能产生价值。作为云计算,它是以一种服务的方式去呈现。这两者之间的关系有人说是油和车之间的关系,大数据是油,云计算是车,车多了没有油的话,这个车是没有价值的,第二个观点是说大数据是一个矿产,矿产需要挖掘,那挖掘的设备和机器是什么,就是云计算这样一个设备,在这里头安全是非常重要的。

  下面我们说什么是云主机,我们说现在软件定义计算,软件定义计算,软件定义存储,软件定义安全,这所有的构成我们都可以分到云主机的概念下,原来的主机是物理服务器,随着信息化的技术,随着分布式计算的技术,使得我们的计算资源、存储的资源、网络的资源都可以按需去进行分配和使用。我们说云主机面临什么样的威胁?这是今年斯诺登爆料,说美国的NSA它对私有云的安全的评估,从这里能看到,实际上它覆盖了从硬件、固件、虚拟化,再到中间件,再到上层的应用,以及底层的网络,每一个层面我们都可以看到有相应安全威胁的存在。

  我们再分析一下云主机的安全威胁。我们说传统的安全威胁依然存在,比如病毒、木马依然存在,但还面临新型的威胁,比如说虚拟化所带来的一些新的安全的风险,像虚拟机的逃逸,包括对虚拟机的管理,这都是新技术带来的新的风险。同时我们还看到,这也是去年斯诺登在德国的报纸上报道,美国的NSA针对计算机的NBR、显卡等等的有一个特定的APT攻击的工具。今年业界也挖掘了一个针对硬盘所制作的一个APT攻击的武器,我们这里说的是网络的武器。还有一个问题,刚刚陈恺博士也谈到这个问题,我们都说云服务商和云租户,云租户把我的数据都放在你的云平台,租户不希望你的云服务商、你的云的管理人员能看到我的数据,怎么来解决这个问题?这里面是一个信任的问题,刚刚陈恺博士谈到信任是安全的第一要务。最后是一个根本的感觉。这个感觉怎么来提供?怎么在租户和服务商之间建立一个信任关系,这里面涉及到技术的问题,涉及到法律的问题,也涉及到了管理的问题,我们说可信计算是作为解决这个信任技术的有效手段之一。可信计算和传统防护的措施相比,我们可以看到在这里头,刚刚在前面介绍,在硬件和固件的层面,传统的安全防护手段是缺失的,就使得我们的安全防护缺少一个根基,可信计算就会在硬件,在家电启动的时候就给它提供相应的保护。在操作系统引导的过程中,让你的安全控制优先于你恶意代码的启动,我想这是一个根本的信任的开始。接着往下逐步过渡到这样一个操作系统的启动,再过渡到操作系统的安全,再过渡到网络的一些对等的信任的东西。

  从我们这个角度来看,云计算安全的应对方法是在现有的纵深防御的技术体系架构之上,再增加可信计算的体系。昨天沈院士也在这个地方谈了,通过可信计算来增加系统的自身的运营能力。这一张图是一个可信计算的基本原理,首先从家电加载的开始,建立一个可信的密码芯片,一个信任链;其次也是基于这样一个密码应用,实现这样一个设备自身的证明;最后对密码里头核心的密钥存到这个芯片里面,提供一个安全存储的空间。从目前来看,应该说可信计算发展了将近二十年,目前已经走过了技术和标准体系建设以及产业生态链形成的阶段,目前正处于规模化应用推广的阶段。这是中国可信计算产业的布局,我们可以看到这个产业链还是非常长的,从底层的可信密码的芯片,再到中间的厂商,再到操作系统的厂商,再到主机整机的厂商,再到需虚拟化,再到上面的应用,涉及到每一个层面。这是中国可信计算的技术机构,这也是沈院士从1998年开始带着国内相应的工业部门、厂商以及院所一块儿形成了自己的一个可信计算的体系,这体系里面涉及到密码、芯片、主办、软件、网络、应用。这体系里面相应的标准,首先是有这样一个密码标准,我们有自己TCM的密码标准;其次是芯片、主办、软件、网络,再往下是相应的配套标准;最后要形成一个体系,所谓的体系要在网络、办公等要得到可信计算的应用推广。应该说我们会有自己的创新,首先在网络的连接层面,我们从端对端的对等的认证,到提出一个双系统对证的认证协议,再到芯片层面,我们这样一个做法是由可信芯片先启动,再去加载这样一个CPU。整体上说它是以一个可信计算模块为原件,构成一个软硬件一体的信任链,覆盖到底层的服务器,再到虚拟机,再到上层的应用。

  我们谈可信云主机,这个云主机要提供的服务是什么?它是可信的计算尺的服务,底层是可信的服务器,对它这样一个计算资源进行抽象以后,通过这样一个虚机的操作,对底层的可计算资源进行抽象,对上形成一个可信的计算服务出来。这是一个典型的应用,这是Google有一个文章,说谷歌在内网放弃了内网防火墙,其实不是,随着国内的移动设备要接入到它的内部网络,它实际上是在追求这种端到端的可信的连接,这种可信的连接是它的设备、人员、应用、业务三个是一体的动态授权的控制过程。这个是刚刚陈博士没有讲的,这是微软的一个东西,这是在微软原来的技术上,基于这样一个云租户的应用,它的密钥是由租户自己来控制的,对租户的虚拟网络磁盘实现整体全盘的加密。这也是一个应用,对一些关键性的业务,比如说某一些银行业务,某一些特定的安全部门的业务,它希望它的业务只在特定的地域,特定指定的服务器上在这里运行,随着虚机漂移的技术,使得用户对你不信任,我们现在也有这一类的基于地理位置的应用和可信计算的应用。

  这是我们浪潮的云主机的目标,首先底层是自主的,中间这个层面是采用可信计算的,来弥补原有的计算架构的不足,上面我们是以软件的方式来提供相应的安全服务,这是我们的目标。这是我们现有的云主机安全可信的技术架构,可以看到它覆盖的云主机的每一个层面,在这样一个硬件和固件层面,我们已经掌握了可信服务器研制的技术。在虚拟化这个层面,我们正在开发虚机的可信准入的产品。在操作系统这个层面,我们有操作系统的安全基线以及计算资源的控制。在应用层面,我们正在研发一些功能。在用户行为的角度,我们会基于黑客对服务器的攻击行为,对计算尺里头不同层面的认识对它进行系统的分析,查处中间的异常,会有一个整体的进出,是我们软件安全企业架构的技术,把这些技术揉合到一块儿,以安全服务的方式去呈现。这是我们去年发布的云主机安全产品可信解决方案1.0的版本,左边是以可信服务器为根基,到操作系统我们会对操作系统进行安全加固,包括对操作系统可信的引导。在应用层面,业务系统通过可信实现对业务系统的保护,避免用户在安全配置上的复杂性。后面是我们相应的产品,这个方案也是目前跟很多单位和行业进行的应用推广的工作。

  谢谢大家!