阿里云致力于通过技术手段(硬件加密、隔离、用户审计能力等)为您提供安全可靠的隔离计算环境,并在此基础上为您提供了不同等级的安全保护能力,以满足不同用户对安全和性能的要求。
概述
当前阿里云主要提供默认内存加密、可信计算(vTPM)能力和机密计算(机密虚拟机Confidential VM和Enclave)能力。
默认内存加密:内存加密可以加强内存数据的抗物理攻击能力,进一步提升云上数据的安全性。您无需对操作系统或应用进行任何改动,即可享受到更高一层的安全防护。目前通用型实例规格族g8i、存储增强通用型实例规格族g8ise、计算型实例规格族c8i、内存型实例规格族r8i默认支持内存加密。
可信计算能力:可信实例通过利用虚拟化层面的可信能力vTPM作为可信根,可实现ECS服务器的可信启动,并提供实例启动过程核心组件的校验能力,确保零篡改。
机密计算能力:通过CPU硬件加密及隔离能力,提供可信执行环境,保护数据不受未授权第三方的修改。此外,您还可以通过远程证明等方式验证云平台、实例是否处于预期的安全状态。
Enclave安全能力:阿里云基于Intel SGX 2.0和阿里云虚拟化Enclave为您提供机密计算能力,此能力可以将可信根TCB大大减小,降低业务可能受攻击和影响的范围,可支持用户打造更高安全等级的可信机密环境。更多信息,请参见构建SGX机密计算环境和使用Enclave构建机密计算环境。
机密虚拟机(Confidential VM)安全能力:机密虚拟机可以在无需对其应用进行任何代码更改的情况下,将原有的敏感业务负载以加密运算的方式运行在云上,可以满足您对敏感数据的保护需求。当前阿里云提供了基于Intel TDX和海光CSV的机密虚拟机能力。更多信息,请参见构建TDX机密计算环境和构建CSV机密计算环境。
安全能力概览图
安全能力最佳实践
在TDX实例中基于BigDL PPML构建全链路安全的分布式Spark大数据分析应用
在七代安全增强型实例中部署TensorFlow Serving在线推理
在七代安全增强型实例中部署PyTorch深度学习模型
使用Enclave CLI管理阿里云虚拟化Enclave应用