谢谢您的订阅!
当新的内容发布后您将开始接收邮件。您也可以点击邮件内的链接随时取消订阅。关闭Close

为什么您的私有数据中心也需要机密计算?

by Canonical on 10 October 2023

随着机密计算的采用势头日益强劲,我们经常被问及的一个问题是:为什么我的私有数据中心需要机密计算?尽管机密计算确实常常与解决公共云环境中的安全问题联系在一起,但其价值主张远不止如此。

机密计算威胁模型

要回答这个问题,我们必须首先了解机密计算的潜在威胁模型。在公共云中,机密虚拟机 (CVM) 在主存储器中对工作负载进行加密,为工作负载建立新的信任边界。这样可以防止主机操作系统、管理程序和支持 DMA 的设备访问敏感数据。即使这些组件遭到损坏,机密虚拟机中的数据仍将受到保护。如果不使用机密计算,构成云系统软件的数百万行代码将遭到不受限制的访问。此外,机密虚拟机还可以保护工作负载免遭云计算运营商访问。

您的私有数据中心并非机密的

一些人认为私有数据中心具有固有的优势,如数据治理、控制和物理安全性。这一点没错。无论您的数据是加密的还是明文的,您始终有权决定它存在于哪里、如何对其进行备份以及谁可以访问您的服务器机房。 

治理与安全性

无论如何,区分数据治理和安全性这一点很重要。维护对数据的控制绝对不等同于安全性。您可以控制数据所在的位置,但数据仍遭到泄露。 

事实上,您的本地服务器依然容易受到内部人员的攻击,并且他们也运行与公共云中相同的特权系统软件。因此,它们很容易存在相同的漏洞和安全风险。 

若要更好地了解这个问题的严重程度,只需查看组织的 IT 系统日志,以及您必须定期为数据中心服务器修补的 CVE 数量。例如,如果您运行的是 Linux 主机操作系统,仅在 2022 年,您就可能需要修补大约 400 个 CVE,其中一半的严重程度为高或严重。 

如果没有使用机密计算,这些 CVE 中的任何一个被利用,都有可能泄露您的数据并损害其完整性。如果使用机密计算,您就可以将所有这些系统软件(某个时候肯定会发现它们容易受到攻击)置于机密工作负载的信任边界之外。例如,主机操作系统漏洞对您的工作负载绝对没有安全性方面的影响。 

对于我们交谈过的许多客户来说,私有数据中心中需要机密计算的这一点并不明显。公共云提供商宣传机密计算技术是获得“私有数据中心相同级别安全性”的手段并激励更多的人转而使用公共云,因此也加剧了客户的这种困惑。

Ubuntu 机密计算

要想开启这一变革性的安全性之旅,使您的私有数据中心变成机密的,您可以从不同的硅芯片提供商提供的若干选项中进行选择。例如,在 X86 架构上,您可以考虑 Intel SGX、Intel TDX 和 AMD SEV。如果是在 ARM 生态系统中,您可以使用 TrustZone 和即将推出的 ARM CCA。Keystone 是针对 RISC-V 架构设计的,而 Nvidia H100 是适合 GPU 的绝佳选择。 

无论您选择哪种底层的硅芯片技术,Ubuntu 都是您今天开启这段旅程的合适之选。Ubuntu 已开创针对机密虚拟机的支持技术,如 AMD SEVIntel TDX,并致力于推动机密计算生态系统所有层面的进一步创新。所有主流云提供商都使用了 Ubuntu 机密虚拟机,您可以自信地构建自己的混合多云机密计算策略,保护您的数据而无论该数据部署在何处。

了解关于 Ubuntu 安全性的更多信息

如需了解关于 Canonical 安全措施的更多信息,请联系我们。 

更多资源


订阅博客文章

订阅您感兴趣的主题

在提交此表格的同时,我确认已阅读和同意的隐私声明隐私政策。

查看更多内容

使用 Ubuntu Pro 和机密虚拟机加强云网络安全

在当今的数字环境下,各种规模的组织都提高了自身的云使用率。但随之而来的是攻击面明显增加,使安全成为了人们最关心的问题。本文中,我们将深入到激动人心的云网络安全世界,并在 Ubuntu 的帮助下探索更强大的方法来保护您的工作负载。 为什么操作系统的选择对云网络安全很重要? 首先,我们来讨论一下为什么操作系统的选择对安全性很重要。虽然开发商作出巨大的努力确保其应用程序的安全,但他们所提供的安全保证也只是拼图中的一小片。 一旦您的应用程序在生产平台上投入运行,威胁仍有可能来自特权系统软件,包括操作系统、虚拟机管理器和平台的固件。 通过设计,该软件可以访问您应用程序的所有资源,如果应用程序变成恶意的或受到损害,可能会泄露应用程序的所有敏感数据。因此,认识到操作系统的安全性是应用程 […]

通过 CVE 优先级确保开源安全

最近的一项研究显示,企业市场上 96% 的应用程序均使用开源软件。随着开源环境变得越来越分散,评估潜在安全漏洞对组织的影响可能变成一项必须执行的任务。Ubuntu 被誉为最安全的操作系统之一,为什么呢?Ubuntu 是安全领域的领导者,因为 Ubuntu Security 团队每天都在修复并发布针对已知漏洞的更新软件包。事实上,团队平均每天都会提供 3 个以上的更新,而最重要的更新是在 24 小时内准备、测试和发布的。为了取得这样的结果,Canonical 设计了一套稳健的流程来检查、优先排序并首先修复最重要的软件漏洞。软件漏洞作为公共漏洞和暴露 (CVE) 系统的一部分进行追踪检测,Ubuntu Security 团队(通过 Ubuntu Security 通知 — U […]

云端优化:为您削减三分之二的云端支出

云端优化,不仅能为各组织显著降低云端支出,同时还能确保所需的性能及必要的合规性。企业一旦选择云端作为应用程式基础架构,这都是必经过程。事实证明,在特定情况下,应用云端优化的最佳实践中,有望将总体拥有成本(TCO)降低达三分之二。 但容我们先简略解释以下几点。云端优化究竟如何有助于避免高成本?具体包括哪些作为?最后,为什么该关心您的云端支出呢?这些问题都很重要。值得仔细琢磨。让我们尽己所能来为您解答。 云端成本年年增长 云端运算最大的矛盾之一是,虽然领先的公有云业者每年都不断降价,但大多数组织自推出第一个云端实例起的云端费用却持续上涨。举例来说,亚马逊云端运算服务(AWS)自 2006年 成立以来,一共降价过 107 次。与此同时,在 Canonical 去年所做的云端定价 […]