谢谢您的订阅!
当新的内容发布后您将开始接收邮件。您也可以点击邮件内的链接随时取消订阅。关闭Close

使用 Ubuntu Pro 和机密虚拟机加强云网络安全

by Canonical on 14 November 2023

在当今的数字环境下,各种规模的组织都提高了自身的云使用率。但随之而来的是攻击面明显增加,使安全成为了人们最关心的问题。本文中,我们将深入到激动人心的云网络安全世界,并在 Ubuntu 的帮助下探索更强大的方法来保护您的工作负载。

为什么操作系统的选择对云网络安全很重要?

首先,我们来讨论一下为什么操作系统的选择对安全性很重要。虽然开发商作出巨大的努力确保其应用程序的安全,但他们所提供的安全保证也只是拼图中的一小片。

一旦您的应用程序在生产平台上投入运行,威胁仍有可能来自特权系统软件,包括操作系统、虚拟机管理器和平台的固件。

通过设计,该软件可以访问您应用程序的所有资源,如果应用程序变成恶意的或受到损害,可能会泄露应用程序的所有敏感数据。因此,认识到操作系统的安全性是应用程序安全性上限这一点至关重要。那么,Ubuntu 针对云工作负载提供了哪些安全措施呢?

Ubuntu 的云网络安全措施

Ubuntu 提供了许多内置的安全功能,如全磁盘加密、通过 AppArmor 强制访问控制、文件系统功能和 UEFI 安全启动。为了进一步提升您的安全态势,您还可以订阅 Ubuntu Pro,启用额外的安全功能。

Ubuntu Pro 是 Canonical 推出针对开源软件安全的综合订阅服务。在公共云上使用时,Ubuntu Pro 将把您的安全性提升到一个全新的水平。我们来详细介绍一下其中所包含的内容:

  1. 安全保障范围广:Ubuntu Pro 为超过 25000 个开源软件包提供全面的安全补丁,其中包括 Apache Kafka、NGINX、MongoDB、Redis 和 PostgreSQL 等热门应用程序。
  2. 停机时间减少:使用 Ubuntu Pro 的 Livepatch 服务,您可以在运行时享受队内核中高和关键优先级 CVE 的即时补丁,且无需立即重启。这样可以极大地减少业务中断并使正常运行时间最大化。
  3. 10 年平台稳定性保障,安心使用:Canonical 保证为运行 LTS 版本的 Ubuntu Pro 用户提供 10 年安全维护,确保十年稳定性保障和工作负载保护。
  4. 合规证书Ubuntu Pro 提供自动化和审计工具,可用于 DISA-STIGCIS 加固和审计、FIPS 认证的加密模块等等。这样可以简化合规流程,并帮助您轻松满足法规要求。
  5. 全天候支持:Ubuntu Pro 还提供可选的工作日或全天候支持,确保您在需要时获得专家帮助。其中包括对 25000 个开源软件包和广泛的应用程序进行故障排除、中断修复和错误修复,全天候支持还包括对关键性、破坏性的问题在 1 小时内作出首次响应。

对于个人和小规模商业用途,Ubuntu Pro 至多可免费用于 5 台设备;对于官方 Ubuntu 社区会员,至多可免费用于 50 台设备。

今天就开始使用 Ubuntu Pro

通过机密计算提升云网络安全

虽然安全加固和自动 CVE 修补对于保护您的公共云工作负载免受已知安全漏洞的侵害至关重要,但它们无法保护您的数据免受云上特权系统软件中的零日漏洞或潜在恶意云提供商的攻击。 

原因在于,时至最近,仍无可用的机制在运行时对敏感的工作负载进行保护。而今,机密计算提供了一种系统级原语,可以让您在基于硬件的逻辑上隔离的执行环境中运行应用程序。 

Ubuntu 机密虚拟机

使用 AMD SEV-SNPIntel TDX CPU 扩展程序,您可以部署 Ubuntu 机密虚拟机,其系统内存和 CPU 寄存器采用最新的 AES-128 硬件加密引擎进行加密。 

因为云中运行的工作负载是从硬盘加载的,因此 Ubuntu 还利用其全磁盘加密功能在休息状态下保护您的数据。

Ubuntu 使用 AES 加密和解密写入磁盘的所有数据,将加密密钥(本身已加密的)存储在虚拟机的虚拟磁盘中。只有与 CVM 实例关联的虚拟可信平台模块 (vTPM) 方能解密密钥。

使用 Ubuntu 的机密虚拟机,您的数据在运行时、休息和启动时都能得到保护。 

在 Canonical,我们坚信机密计算和隐私增强技术在未来将成为计算的标准方法。因此,我们的机密计算解决方案组合在所有公共云上均免费提供。

欲了解关于该主题的更多信息,我们诚邀您阅读我们的白皮书,其中深入讨论了如何使用 Ubuntu 通过更强大的方法来实现 Azure 云网络安全。

立即在公共云上部署安全的 Ubuntu 工作负载

在公共云上使用 Ubuntu 可以为加固云工作负载奠定基础。在 Ubuntu Pro 的安全保障范围广、停机时间减少、合规性工具和机密计算支持等内容的加持下,您可以畅享最高水准的安全性,既有信心又安心。

利用 Ubuntu Pro机密虚拟机将您的网络云安全提升到一个全新的水平,并为您的安全敏感型环境构建坚实的基础。

了解关于 Ubuntu 安全性的更多信息

如需了解关于 Canonical 安全措施的更多信息,请联系我们。 

更多资源

订阅博客文章

订阅您感兴趣的主题

在提交此表格的同时,我确认已阅读和同意的隐私声明隐私政策。

查看更多内容

NIS2 合规指南:第 2 部 — 了解 NIS2 合规要求

在上一篇博客文章中,笔者详细介绍了 NIS2 及其适用对象。本系列的第二篇文章中将详细介绍 NIS2 中的主要要求,并将这些要求具体转化为切实可行的行动措施,助力企业组织满足 NIS2 合规要求。欢迎阅读本文,一同深入了解 NIS2 的内容。 NIS2 适用于您。那么,您需要做些什么来满足 NIS2 合规要求? 如果您正在阅读本文,想必已经意识到 EU NIS2 适用于您所在的公司。接下来,让我们深入探究其中的具体要求,以及为实现合规性需要采取的行动。 该指令规定,相关实体必须落实网络安全风险管理措施,且这些措施必须“适当适度”。尽管这一要求看似宽泛,存在一定的解释空间,但指令中明确规定了一系列必须落实的最低限度的网络安全风险管理措施。 下面将细入探讨这些措施,并将其转化 […]

Canonical 获得 ISO/SAE 21434 认证,强化了汽车网络安全标准

经过认证的网络安全流程有助于保护下一代互联汽车 Canonical 自豪地宣布,其安全管理系统经过全球知名认证提供商 TÜV SÜD 的广泛评估,已获得 ISO/SAE 21434 认证。这一里程碑突出了 Canonical 在为汽车行业提供可信可靠的开源解决方案方面的领导地位。它强调了 Canonical 对三大关键业务支柱的承诺:强大的网络安全、符合全球行业标准以及为自动驾驶和智能汽车构建更安全的未来。 强大的汽车网络安全 随着车辆的互联程度越来越高,未经授权的访问、远程攻击和数据泄露的风险也显著增加。ISO/SAE 21434 为在整个车辆生命周期内管理这些风险提供了详细的框架。对于原始设备制造商和一级供应商来说,合规是在竞争激烈的市场中交付产品的关键。 Canon […]

Canonical 宣布推出 12 年 Kubernetes LTS

Canonical 的 Kubernetes LTS(长期支持)将支持 FedRAMP 合规性,并在裸机、公共云、OpenStack、Canonical MicroCloud 和 VMware 上获得至少 12 年的承诺安全维护和企业支持。 Canonical 宣布,从 Kubernetes 1.32 开始,将提供 12 年的安全维护和支持。新版本易于安装、操作和升级,具有一流的开源网络、DNS、网关、度量服务器、本地存储、负载平衡器和入口服务。Canonical Kubernetes 使客户能够按照自己的节奏进行升级,对于喜欢快速行动的组织,将每四个月发布一次新的上游版本,对于需要长期支持环境的组织,则提供 12 年的承诺。 “Kubernetes 的不断升级是企业团队 […]