谢谢您的订阅!
当新的内容发布后您将开始接收邮件。您也可以点击邮件内的链接随时取消订阅。关闭Close

为什么您的私有数据中心也需要机密计算?

by Canonical on 10 October 2023

随着机密计算的采用势头日益强劲,我们经常被问及的一个问题是:为什么我的私有数据中心需要机密计算?尽管机密计算确实常常与解决公共云环境中的安全问题联系在一起,但其价值主张远不止如此。

机密计算威胁模型

要回答这个问题,我们必须首先了解机密计算的潜在威胁模型。在公共云中,机密虚拟机 (CVM) 在主存储器中对工作负载进行加密,为工作负载建立新的信任边界。这样可以防止主机操作系统、管理程序和支持 DMA 的设备访问敏感数据。即使这些组件遭到损坏,机密虚拟机中的数据仍将受到保护。如果不使用机密计算,构成云系统软件的数百万行代码将遭到不受限制的访问。此外,机密虚拟机还可以保护工作负载免遭云计算运营商访问。

您的私有数据中心并非机密的

一些人认为私有数据中心具有固有的优势,如数据治理、控制和物理安全性。这一点没错。无论您的数据是加密的还是明文的,您始终有权决定它存在于哪里、如何对其进行备份以及谁可以访问您的服务器机房。 

治理与安全性

无论如何,区分数据治理和安全性这一点很重要。维护对数据的控制绝对不等同于安全性。您可以控制数据所在的位置,但数据仍遭到泄露。 

事实上,您的本地服务器依然容易受到内部人员的攻击,并且他们也运行与公共云中相同的特权系统软件。因此,它们很容易存在相同的漏洞和安全风险。 

若要更好地了解这个问题的严重程度,只需查看组织的 IT 系统日志,以及您必须定期为数据中心服务器修补的 CVE 数量。例如,如果您运行的是 Linux 主机操作系统,仅在 2022 年,您就可能需要修补大约 400 个 CVE,其中一半的严重程度为高或严重。 

如果没有使用机密计算,这些 CVE 中的任何一个被利用,都有可能泄露您的数据并损害其完整性。如果使用机密计算,您就可以将所有这些系统软件(某个时候肯定会发现它们容易受到攻击)置于机密工作负载的信任边界之外。例如,主机操作系统漏洞对您的工作负载绝对没有安全性方面的影响。 

对于我们交谈过的许多客户来说,私有数据中心中需要机密计算的这一点并不明显。公共云提供商宣传机密计算技术是获得“私有数据中心相同级别安全性”的手段并激励更多的人转而使用公共云,因此也加剧了客户的这种困惑。

Ubuntu 机密计算

要想开启这一变革性的安全性之旅,使您的私有数据中心变成机密的,您可以从不同的硅芯片提供商提供的若干选项中进行选择。例如,在 X86 架构上,您可以考虑 Intel SGX、Intel TDX 和 AMD SEV。如果是在 ARM 生态系统中,您可以使用 TrustZone 和即将推出的 ARM CCA。Keystone 是针对 RISC-V 架构设计的,而 Nvidia H100 是适合 GPU 的绝佳选择。 

无论您选择哪种底层的硅芯片技术,Ubuntu 都是您今天开启这段旅程的合适之选。Ubuntu 已开创针对机密虚拟机的支持技术,如 AMD SEVIntel TDX,并致力于推动机密计算生态系统所有层面的进一步创新。所有主流云提供商都使用了 Ubuntu 机密虚拟机,您可以自信地构建自己的混合多云机密计算策略,保护您的数据而无论该数据部署在何处。

了解关于 Ubuntu 安全性的更多信息

如需了解关于 Canonical 安全措施的更多信息,请联系我们。 

更多资源


订阅博客文章

订阅您感兴趣的主题

在提交此表格的同时,我确认已阅读和同意的隐私声明隐私政策。

查看更多内容

Canonical 发布 Ubuntu 24.04 LTS Noble Numbat

Canonical 的第 10 个长期支持版本树立了在性能工程、企业安全和开发人员体验方面的新标准。 伦敦,2024 年 4 月 25 日 Canonical 今日正式发布 Ubuntu 24.04 LTS,代号“Noble Numbat”(尊贵的袋食蚁兽),用户可前往 https://ubuntu.com/download 下载并安装。 Ubuntu 24.04 LTS 建立在前三个中期版本的进步以及世界各地开源开发人员的贡献之上,只为确保一个安全、优化和具有前瞻性的平台。 Canonical 首席执行官 Mark Shuttleworth 称:“Ubuntu 24.04 LTS 在性能工程和机密计算方面迈出了大胆的一步,实现了一个企业级创新平台,支持期限至少为 12 […]

Canonical 发布 Ubuntu Pro 设备版 – Ubuntu Pro for Devices

面向物联网部署的新订阅版本保障最先进开源堆栈的安全性及长期合规性  Ubuntu 发行商 Canonical 宣布推出 Ubuntu Pro 设备版 – Ubuntu Pro for Devices,此款综合性产品有助于简化物联网设备部署的安全性和合规性工作。Ubuntu Pro 设备版提供长达 10 年的 Ubuntu 安全维护,并且提供数千个开源包,如 Python、Docker、OpenJDK、OpenCV、MQTT、OpenSSL、Go 和机器人操作系统(ROS)。该订阅版还提供使用 Canonical 系统管理工具 Landscape 进行设备管理的功能,以及在延迟关键型用例中访问 Real-time Ubuntu 的功能。Ubuntu Pro 设备版可直接从 […]

使用基于 Ubuntu 构建的 EB corbos Linux 简化软件定义汽车

汽车制造商在软件定义汽车 (SDV) 的发展道路上面临着许多挑战,比如传统供应商依赖性问题,其导致可扩展性的缺乏和高昂的维护成本。如果采用以软件为中心的方法,则应该降低复杂性和成本,加快产品上市时间,提高产品质量,增加灵活性,并且提供更稳健的网络安全保障。 汽车制造商需要从根本上改变其企业流程和组织结构,专注于软件开发和服务。不同部门以及外部实体之间的协作将是向客户提供出色产品和卓越体验的关键。这才是竞争激烈的品牌应该瞄准的目标。 软件定义汽车 (SDV) 是汽车 E/E 架构的未来。未来的汽车将更像一个移动计算设备。SDV 将不再受硬件限制,而是受益于软件更新,改进汽车功能并实现更强的适应性和性能优化。 视野拓展:汽车行业变革趋势 2024行业趋势指南 解锁软件定义汽车 […]