使用 Ubuntu Pro 和机密虚拟机加强云网络安全
by Canonical on 14 November 2023
在当今的数字环境下,各种规模的组织都提高了自身的云使用率。但随之而来的是攻击面明显增加,使安全成为了人们最关心的问题。本文中,我们将深入到激动人心的云网络安全世界,并在 Ubuntu 的帮助下探索更强大的方法来保护您的工作负载。
为什么操作系统的选择对云网络安全很重要?
首先,我们来讨论一下为什么操作系统的选择对安全性很重要。虽然开发商作出巨大的努力确保其应用程序的安全,但他们所提供的安全保证也只是拼图中的一小片。
一旦您的应用程序在生产平台上投入运行,威胁仍有可能来自特权系统软件,包括操作系统、虚拟机管理器和平台的固件。
通过设计,该软件可以访问您应用程序的所有资源,如果应用程序变成恶意的或受到损害,可能会泄露应用程序的所有敏感数据。因此,认识到操作系统的安全性是应用程序安全性上限这一点至关重要。那么,Ubuntu 针对云工作负载提供了哪些安全措施呢?
Ubuntu 的云网络安全措施
Ubuntu 提供了许多内置的安全功能,如全磁盘加密、通过 AppArmor 强制访问控制、文件系统功能和 UEFI 安全启动。为了进一步提升您的安全态势,您还可以订阅 Ubuntu Pro,启用额外的安全功能。
Ubuntu Pro 是 Canonical 推出针对开源软件安全的综合订阅服务。在公共云上使用时,Ubuntu Pro 将把您的安全性提升到一个全新的水平。我们来详细介绍一下其中所包含的内容:
- 安全保障范围广:Ubuntu Pro 为超过 25000 个开源软件包提供全面的安全补丁,其中包括 Apache Kafka、NGINX、MongoDB、Redis 和 PostgreSQL 等热门应用程序。
- 停机时间减少:使用 Ubuntu Pro 的 Livepatch 服务,您可以在运行时享受队内核中高和关键优先级 CVE 的即时补丁,且无需立即重启。这样可以极大地减少业务中断并使正常运行时间最大化。
- 10 年平台稳定性保障,安心使用:Canonical 保证为运行 LTS 版本的 Ubuntu Pro 用户提供 10 年安全维护,确保十年稳定性保障和工作负载保护。
- 合规证书Ubuntu Pro 提供自动化和审计工具,可用于 DISA-STIG、CIS 加固和审计、FIPS 认证的加密模块等等。这样可以简化合规流程,并帮助您轻松满足法规要求。
- 全天候支持:Ubuntu Pro 还提供可选的工作日或全天候支持,确保您在需要时获得专家帮助。其中包括对 25000 个开源软件包和广泛的应用程序进行故障排除、中断修复和错误修复,全天候支持还包括对关键性、破坏性的问题在 1 小时内作出首次响应。
对于个人和小规模商业用途,Ubuntu Pro 至多可免费用于 5 台设备;对于官方 Ubuntu 社区会员,至多可免费用于 50 台设备。
通过机密计算提升云网络安全
虽然安全加固和自动 CVE 修补对于保护您的公共云工作负载免受已知安全漏洞的侵害至关重要,但它们无法保护您的数据免受云上特权系统软件中的零日漏洞或潜在恶意云提供商的攻击。
原因在于,时至最近,仍无可用的机制在运行时对敏感的工作负载进行保护。而今,机密计算提供了一种系统级原语,可以让您在基于硬件的逻辑上隔离的执行环境中运行应用程序。
Ubuntu 机密虚拟机
使用 AMD SEV-SNP 或 Intel TDX CPU 扩展程序,您可以部署 Ubuntu 机密虚拟机,其系统内存和 CPU 寄存器采用最新的 AES-128 硬件加密引擎进行加密。
因为云中运行的工作负载是从硬盘加载的,因此 Ubuntu 还利用其全磁盘加密功能在休息状态下保护您的数据。
Ubuntu 使用 AES 加密和解密写入磁盘的所有数据,将加密密钥(本身已加密的)存储在虚拟机的虚拟磁盘中。只有与 CVM 实例关联的虚拟可信平台模块 (vTPM) 方能解密密钥。
使用 Ubuntu 的机密虚拟机,您的数据在运行时、休息和启动时都能得到保护。
在 Canonical,我们坚信机密计算和隐私增强技术在未来将成为计算的标准方法。因此,我们的机密计算解决方案组合在所有公共云上均免费提供。
欲了解关于该主题的更多信息,我们诚邀您阅读我们的白皮书,其中深入讨论了如何使用 Ubuntu 通过更强大的方法来实现 Azure 云网络安全。
立即在公共云上部署安全的 Ubuntu 工作负载
在公共云上使用 Ubuntu 可以为加固云工作负载奠定基础。在 Ubuntu Pro 的安全保障范围广、停机时间减少、合规性工具和机密计算支持等内容的加持下,您可以畅享最高水准的安全性,既有信心又安心。
利用 Ubuntu Pro 和机密虚拟机将您的网络云安全提升到一个全新的水平,并为您的安全敏感型环境构建坚实的基础。
了解关于 Ubuntu 安全性的更多信息
如需了解关于 Canonical 安全措施的更多信息,请联系我们。
更多资源
订阅博客文章
查看更多内容
Ubuntu Linux 为什么成为金融服务领域取代 CentOS 的首选?
金融服务由技术驱动。而客户体验越来越多地由数据驱动,通过定制产品和服务可以体现出个人行为和偏好。所有这一切都建立在安全稳定的技术基础之上,只有这样的基础才可以提供敏捷性和灵活性,以适应客户需求的同时保持合规性。 使用 CentOS 作为创新基础的金融服务机构见证了 CentOS 8 于 2021 年退出,随后是 CentOS 7 于 2024 年 6 月退出。不过,最近的一项研究显示,各行业近四分之一的企业组织仍在使用 CentOS。 听起来是不是很耳熟?众所周知,金融机构在进行重大技术变革时是最谨慎的。考虑到金融业务的敏感性,这也就可以理解了。事实上,尽管过渡到云已成为一种成熟的方案,但仍有 60% 的金融机构表示,他们采用的传统技术堆栈成本过高且存在不足。与所有传 […]
Charmed PostgreSQL 全面上市
值得信赖的企业级 PostgreSQL Canonical 正式发布 Charmed PostgreSQL,这是一款企业级解决方案,有助于确保安全性,可自动完成 PostgreSQL 数据库在私有云和公共云上的部署、维护和升级。 PostgreSQL 是一个开源数据库管理系统。已在 IT 领域应用超过 30 年。成熟的技术、活跃的社群使其始终成为开发人员的首选 DBMS。 Canonical 推出的 Charmed PostgreSQL 便以此为基础进行构建并提供额外的功能,能够满足您的一切企业需求: 长达 10 年的安全维护和支持 订阅 Ubuntu Pro,即可购买 Charmed PostgreSQL 安全与支持服务。Ubuntu Pro 订阅提供长达 10 年的安 […]
您每隔多久会在 Linux 上安装一次安全补丁?
定期应用补丁对于维护安全的环境至关重要,但对于确保 Linux 资产的安全性,并不存在一劳永逸的办法。那么,如何平衡更新频率和运行稳定性呢?有一些策略可通过合规且安全的方式实现安全补丁自动化,甚至适用于限制和监管最严格的环境。在确定安全补丁策略时,有必要了解 Canonical 软件更新发布时间表和安全补丁覆盖周期时间窗口等重要信息。笔者在近期主持的一场在线研讨会和安全问答活动中,解释了如何尽量减少补丁应用频率或尽量缩短未修复漏洞被利用的时间。本篇文章将概述笔者在这次网络研讨会上的主要观点,并说明确定更新计划时最重要的考虑因素。 针对 Linux 内核的安全补丁 Ubuntu 中有两种类型的内核,这些内核有两种打包方式。两种内核类型为通用版(GA)内核和变体内核。两种打 […]