使用 Ubuntu Pro 和机密虚拟机加强云网络安全

by Canonical on 14 November 2023

在当今的数字环境下，各种规模的组织都提高了自身的云使用率。但随之而来的是攻击面明显增加，使安全成为了人们最关心的问题。本文中，我们将深入到激动人心的云网络安全世界，并在 Ubuntu 的帮助下探索更强大的方法来保护您的工作负载。

为什么操作系统的选择对云网络安全很重要？

首先，我们来讨论一下为什么操作系统的选择对安全性很重要。虽然开发商作出巨大的努力确保其应用程序的安全，但他们所提供的安全保证也只是拼图中的一小片。

一旦您的应用程序在生产平台上投入运行，威胁仍有可能来自特权系统软件，包括操作系统、虚拟机管理器和平台的固件。

通过设计，该软件可以访问您应用程序的所有资源，如果应用程序变成恶意的或受到损害，可能会泄露应用程序的所有敏感数据。因此，认识到操作系统的安全性是应用程序安全性上限这一点至关重要。那么，Ubuntu 针对云工作负载提供了哪些安全措施呢？

Ubuntu 提供了许多内置的安全功能，如全磁盘加密、通过 AppArmor 强制访问控制、文件系统功能和 UEFI 安全启动。为了进一步提升您的安全态势，您还可以订阅 Ubuntu Pro，启用额外的安全功能。

Ubuntu Pro 是 Canonical 推出针对开源软件安全的综合订阅服务。在公共云上使用时，Ubuntu Pro 将把您的安全性提升到一个全新的水平。我们来详细介绍一下其中所包含的内容：

安全保障范围广：Ubuntu Pro 为超过 25000 个开源软件包提供全面的安全补丁，其中包括 Apache Kafka、NGINX、MongoDB、Redis 和 PostgreSQL 等热门应用程序。
停机时间减少：使用 Ubuntu Pro 的 Livepatch 服务，您可以在运行时享受队内核中高和关键优先级 CVE 的即时补丁，且无需立即重启。这样可以极大地减少业务中断并使正常运行时间最大化。
10 年平台稳定性保障，安心使用：Canonical 保证为运行 LTS 版本的 Ubuntu Pro 用户提供 10 年安全维护，确保十年稳定性保障和工作负载保护。
合规证书Ubuntu Pro 提供自动化和审计工具，可用于 DISA-STIG、CIS 加固和审计、FIPS 认证的加密模块等等。这样可以简化合规流程，并帮助您轻松满足法规要求。
全天候支持：Ubuntu Pro 还提供可选的工作日或全天候支持，确保您在需要时获得专家帮助。其中包括对 25000 个开源软件包和广泛的应用程序进行故障排除、中断修复和错误修复，全天候支持还包括对关键性、破坏性的问题在 1 小时内作出首次响应。

对于个人和小规模商业用途，Ubuntu Pro 至多可免费用于 5 台设备；对于官方 Ubuntu 社区会员，至多可免费用于 50 台设备。

虽然安全加固和自动 CVE 修补对于保护您的公共云工作负载免受已知安全漏洞的侵害至关重要，但它们无法保护您的数据免受云上特权系统软件中的零日漏洞或潜在恶意云提供商的攻击。

原因在于，时至最近，仍无可用的机制在运行时对敏感的工作负载进行保护。而今，机密计算提供了一种系统级原语，可以让您在基于硬件的逻辑上隔离的执行环境中运行应用程序。

使用 AMD SEV-SNP 或 Intel TDX CPU 扩展程序，您可以部署 Ubuntu 机密虚拟机，其系统内存和 CPU 寄存器采用最新的 AES-128 硬件加密引擎进行加密。

因为云中运行的工作负载是从硬盘加载的，因此 Ubuntu 还利用其全磁盘加密功能在休息状态下保护您的数据。

Ubuntu 使用 AES 加密和解密写入磁盘的所有数据，将加密密钥（本身已加密的）存储在虚拟机的虚拟磁盘中。只有与 CVM 实例关联的虚拟可信平台模块 (vTPM) 方能解密密钥。

使用 Ubuntu 的机密虚拟机，您的数据在运行时、休息和启动时都能得到保护。

在 Canonical，我们坚信机密计算和隐私增强技术在未来将成为计算的标准方法。因此，我们的机密计算解决方案组合在所有公共云上均免费提供。

欲了解关于该主题的更多信息，我们诚邀您阅读我们的白皮书，其中深入讨论了如何使用 Ubuntu 通过更强大的方法来实现 Azure 云网络安全。

在公共云上使用 Ubuntu 可以为加固云工作负载奠定基础。在 Ubuntu Pro 的安全保障范围广、停机时间减少、合规性工具和机密计算支持等内容的加持下，您可以畅享最高水准的安全性，既有信心又安心。

利用 Ubuntu Pro 和机密虚拟机将您的网络云安全提升到一个全新的水平，并为您的安全敏感型环境构建坚实的基础。

如需了解关于 Canonical 安全措施的更多信息，请联系我们。