伴隨IT技術的不斷演進，云計算正不斷融入當代社會的各個領域，包括IT、商業(yè)都為此發(fā)生了翻天覆地的變化。在企業(yè)IT架構方面，云已逐步成為企業(yè)日常網絡應用中的重要組成部分。而作為云計算發(fā)展的基礎設施，數(shù)據(jù)中心的安全建設是保障云業(yè)務正常運轉和云計算安全的重要防線，并顯得尤為關鍵。

數(shù)據(jù)中心網絡面臨的安全挑戰(zhàn)

數(shù)據(jù)中心是以機房和網絡資源為依托，以專業(yè)化技術支撐隊伍為基礎，為各類用戶提供各種資源出租以及相關增值服務，并定期向用戶收取相應服務費用的一種電信級服務，是企業(yè)數(shù)據(jù)、應用大集中以及企業(yè)IT應用對服務提供模式的依賴的集中體現(xiàn)。

近十年來，隨著企業(yè)的高速發(fā)展和經營對數(shù)據(jù)依賴性的增長，數(shù)據(jù)中心向著更大容量、更高能力、超大規(guī)模、多種業(yè)務模式和運營模式共存的方向發(fā)展，而其所面對的各種網絡安全威脅也層出不窮。

隨著企業(yè)邊界被打開，企業(yè)無法自身完成所有的安全防護，而需要IT供應商、安全廠商共同幫助其在員工的個人設備、企業(yè)內部及產業(yè)鏈上下游共同構建安全防御和管理體系；同時在攻擊方式上，高級持續(xù)性攻擊（APT）和目標導向型攻擊（ATT）正成為重要的新攻擊手段。這兩種威脅目的性更強，且攻擊手法經過精心設計，特征極難發(fā)現(xiàn)。

而其他數(shù)據(jù)中心網絡安全所面臨嚴峻的挑戰(zhàn)還包括DDoS攻擊，黑客入侵，安全隔離，專屬安全防護需求，以及網絡性能瓶頸等多個方面。那么如何為云計算數(shù)據(jù)中心提供安全可信的運行環(huán)境，為客戶構建從硬件到軟件、從底層到頂層的平臺信任鏈呢？近日國內知名云計算整體解決方案供應商浪潮為云數(shù)據(jù)中心的建設帶來了新的安全利器。

為云數(shù)據(jù)中心打造可信任鏈

浪潮集團信息安全事業(yè)部總經理張東認為：“云數(shù)據(jù)中心作為信息資源的集中地和最頻繁的交換地，已經成為了安全事件的多發(fā)地，而威脅防護上的任何疏漏都可能造成無法彌補的損失。在數(shù)據(jù)中心從以物理服務器為核心，向虛擬化和云計算演進，并正在進入由軟件定義的下一代數(shù)據(jù)中心過程中，服務器作為云數(shù)據(jù)中心核心裝備的安全策略也需隨之更新。”

對此，浪潮近期發(fā)布了業(yè)內首款面向云數(shù)據(jù)中心的可信服務器，便是浪潮主機安全戰(zhàn)略的延續(xù)和落地。據(jù)悉，首批可信服務器包括了2路及4路機型，為云數(shù)據(jù)中心提供安全可靠的服務器基礎平臺，形成以可信服務器為基礎的云主機安全可信解決方案，填補了云計算安全領域的空白。該可信服務器是以可信芯片為起點，為客戶構建全方位的平臺信任鏈，從而營造安全可信的云數(shù)據(jù)中心環(huán)境。

浪潮此次推出的可信服務器采用可信安全模塊、安全主板、安全BIOS和安全軟件等技術，實現(xiàn)從關鍵部件的固件程序、虛擬化到基礎軟件系統(tǒng)的完整性度量和保護，有效防止了病毒、后門和木馬對系統(tǒng)運行環(huán)境的篡改攻擊；更可有效檢測硬件和基礎軟件層的APT攻擊，防止因固件和軟件漏洞導致的高級惡意代碼植入。

對于可信任鏈的建立，浪潮集團信息安全事業(yè)部安全可信云主機產品經理劉剛介紹到，通過信任鏈技術，將可安全模塊作為可信根，構建從服務器硬件到操作系統(tǒng)和應用程序等完整的信任鏈，來對抗惡意代碼的攻擊。具體是將可信根由TCM傳遞到操作系統(tǒng)，操作系統(tǒng)信任底層平臺，應用層再信任操作系統(tǒng)，如此一級一級的傳遞上去，最終把整個計算機系統(tǒng)的信任鏈建立起來。

劉剛表示，最終可信任鏈的體系里面有三個重要的特性，第一是建立可信的信息鏈，第二是標識平臺的身份，第三是要保持密鑰。而密鑰將是整個認證體系里面相當重要的部分。

首先，信任鏈建立后，用戶便可以對其完整性做一個度量和校驗。如果完整性被破壞了，用戶收到了來自平臺的不可信提示，那么用戶便可以選擇不去啟動該系統(tǒng)。通過完整性的校驗，可以保證服務器系統(tǒng)不會被惡意植入一些未知的代碼，這樣便能保證服務器系統(tǒng)在長時間的運行中同未部署時一樣安全。一旦可信任鏈建立了，用戶便可以實現(xiàn)抵御惡意代碼的攻擊，包括在硬件層面，系統(tǒng)層面和應用層面等方面的防御。

其次，標識平臺的身份。每個平臺的特征都是不一樣的，通過身份的標識能夠讓用戶知道這個平臺是否是可信的。因為在云計算環(huán)境里，企業(yè)租戶去購買一個虛擬機后，其可能不知道虛擬機在什么平臺上面運行，也不知道這個服務器平臺是不是可信，是不是可以控制。而平臺的身份標識，則可以在一定程度上解決這個方面的問題。通過完整性的度量，把該平臺的特征，進行展現(xiàn)、核實。

還有就是密鑰。劉剛表示，通過密鑰的安全固化，將其寫到GTM保護的區(qū)域里面，來提高密鑰安全性。

此外，軟硬一體的安全可信解決方案還包括了底層基礎核心及云計算數(shù)據(jù)中心間的管理和應用，在可信服務器與應用程序之間，浪潮SSR操作系統(tǒng)安全增強系統(tǒng)將起到承上啟下的作用。浪潮的SSR產品能夠從根本上對服務器操作系統(tǒng)的惡意攻擊免疫，將木馬、后門、沖擊波、振蕩波等蠕蟲類病毒和內外網的黑客攻擊拒之門外。

構建安全可信的云主機方案

目前，由于技術缺失和市場壟斷等因素的存在，行業(yè)信息化系統(tǒng)面臨隨時隨地威脅，黑客可能隨時輕易的利用后門、漏洞等便利條件，從主機系統(tǒng)中竊取重要數(shù)據(jù)。可信服務器作為主機戰(zhàn)略的延續(xù)，強化了云數(shù)據(jù)中心核心數(shù)據(jù)資產的保護，并帶動了芯片、處理器、操作系統(tǒng)、應用軟件等整個產業(yè)鏈生態(tài)發(fā)展的進程。

浪潮可信服務器

同時，可信服務器是云主機安全可信的根基。浪潮云主機安全可信技術，將融合可信計算、操作系統(tǒng)加固、虛擬計算安全等技術，以可信芯片為根，構建鏈接固件、VMM、Guest OS和上層應用的信任鏈，來應對云主機的各種威脅。

浪潮可信服務器

對于浪潮安全可信云主機的產品架構，劉剛介紹到，在配備有可信服務器的安全可信云主機區(qū)，可實現(xiàn)在虛擬機里的OS可信引導，并可針對應用進行隔離保護，在防護功能上要較普通的安全云主機區(qū)更具優(yōu)勢。而在云主機安全管理中心，可進行主機防御策略管理、信任鏈構建管理、虛擬機遷移可信支持管理、虛擬可信模塊管理、可信模塊安全參數(shù)管理和統(tǒng)一審計管理等等管控功能。

據(jù)悉，浪潮推動并實現(xiàn)了在TPM2.0標準版本上，中國商用密碼管理規(guī)范標準算法SM2、SM3和SM4在云計算中的實際應用，支持并滿足國內可信計算應用需求。并從云主機安全可信、軟件的健康上線、云服務的受控訪問、云數(shù)據(jù)的集中管控、云安全感知與服務、異地容災備份，這個六大目標幫助云數(shù)據(jù)中心的運營管理者達成目標。

浪潮基于可信服務器的云主機安全可信解決方案將提供從硬件平臺、云操作系統(tǒng)到應用容器的三層安全可信防護體系，從“源頭”為云計算提供更好的安全可控防護，消除企業(yè)在部署云計算時的最大擔憂，為客戶構建安全可信的云。

伴隨IT技術的不斷演進，云計算正不斷融入當代社會的各個領域，包括IT、商業(yè)都為此發(fā)生了翻天覆地的變化。在企業(yè)IT架構方面，云已逐步成為企業(yè)日常網絡應用中的重要組成部分。而作為云計算發(fā)展的基礎設施，數(shù)據(jù)中心的安全建設是保障云業(yè)務正常運轉和云計算安全的重要防線，并顯得尤為關鍵。

數(shù)據(jù)中心網絡面臨的安全挑戰(zhàn)

數(shù)據(jù)中心是以機房和網絡資源為依托，以專業(yè)化技術支撐隊伍為基礎，為各類用戶提供各種資源出租以及相關增值服務，并定期向用戶收取相應服務費用的一種電信級服務，是企業(yè)數(shù)據(jù)、應用大集中以及企業(yè)IT應用對服務提供模式的依賴的集中體現(xiàn)。

近十年來，隨著企業(yè)的高速發(fā)展和經營對數(shù)據(jù)依賴性的增長，數(shù)據(jù)中心向著更大容量、更高能力、超大規(guī)模、多種業(yè)務模式和運營模式共存的方向發(fā)展，而其所面對的各種網絡安全威脅也層出不窮。

隨著企業(yè)邊界被打開，企業(yè)無法自身完成所有的安全防護，而需要IT供應商、安全廠商共同幫助其在員工的個人設備、企業(yè)內部及產業(yè)鏈上下游共同構建安全防御和管理體系；同時在攻擊方式上，高級持續(xù)性攻擊（APT）和目標導向型攻擊（ATT）正成為重要的新攻擊手段。這兩種威脅目的性更強，且攻擊手法經過精心設計，特征極難發(fā)現(xiàn)。

而其他數(shù)據(jù)中心網絡安全所面臨嚴峻的挑戰(zhàn)還包括DDoS攻擊，黑客入侵，安全隔離，專屬安全防護需求，以及網絡性能瓶頸等多個方面。那么如何為云計算數(shù)據(jù)中心提供安全可信的運行環(huán)境，為客戶構建從硬件到軟件、從底層到頂層的平臺信任鏈呢？近日國內知名云計算整體解決方案供應商浪潮為云數(shù)據(jù)中心的建設帶來了新的安全利器。

為云數(shù)據(jù)中心打造可信任鏈

浪潮集團信息安全事業(yè)部總經理張東認為：“云數(shù)據(jù)中心作為信息資源的集中地和最頻繁的交換地，已經成為了安全事件的多發(fā)地，而威脅防護上的任何疏漏都可能造成無法彌補的損失。在數(shù)據(jù)中心從以物理服務器為核心，向虛擬化和云計算演進，并正在進入由軟件定義的下一代數(shù)據(jù)中心過程中，服務器作為云數(shù)據(jù)中心核心裝備的安全策略也需隨之更新。”

對此，浪潮近期發(fā)布了業(yè)內首款面向云數(shù)據(jù)中心的可信服務器，便是浪潮主機安全戰(zhàn)略的延續(xù)和落地。據(jù)悉，首批可信服務器包括了2路及4路機型，為云數(shù)據(jù)中心提供安全可靠的服務器基礎平臺，形成以可信服務器為基礎的云主機安全可信解決方案，填補了云計算安全領域的空白。該可信服務器是以可信芯片為起點，為客戶構建全方位的平臺信任鏈，從而營造安全可信的云數(shù)據(jù)中心環(huán)境。

浪潮此次推出的可信服務器采用可信安全模塊、安全主板、安全BIOS和安全軟件等技術，實現(xiàn)從關鍵部件的固件程序、虛擬化到基礎軟件系統(tǒng)的完整性度量和保護，有效防止了病毒、后門和木馬對系統(tǒng)運行環(huán)境的篡改攻擊；更可有效檢測硬件和基礎軟件層的APT攻擊，防止因固件和軟件漏洞導致的高級惡意代碼植入。

對于可信任鏈的建立，浪潮集團信息安全事業(yè)部安全可信云主機產品經理劉剛介紹到，通過信任鏈技術，將可安全模塊作為可信根，構建從服務器硬件到操作系統(tǒng)和應用程序等完整的信任鏈，來對抗惡意代碼的攻擊。具體是將可信根由TCM傳遞到操作系統(tǒng)，操作系統(tǒng)信任底層平臺，應用層再信任操作系統(tǒng)，如此一級一級的傳遞上去，最終把整個計算機系統(tǒng)的信任鏈建立起來。

劉剛表示，最終可信任鏈的體系里面有三個重要的特性，第一是建立可信的信息鏈，第二是標識平臺的身份，第三是要保持密鑰。而密鑰將是整個認證體系里面相當重要的部分。

首先，信任鏈建立后，用戶便可以對其完整性做一個度量和校驗。如果完整性被破壞了，用戶收到了來自平臺的不可信提示，那么用戶便可以選擇不去啟動該系統(tǒng)。通過完整性的校驗，可以保證服務器系統(tǒng)不會被惡意植入一些未知的代碼，這樣便能保證服務器系統(tǒng)在長時間的運行中同未部署時一樣安全。一旦可信任鏈建立了，用戶便可以實現(xiàn)抵御惡意代碼的攻擊，包括在硬件層面，系統(tǒng)層面和應用層面等方面的防御。

其次，標識平臺的身份。每個平臺的特征都是不一樣的，通過身份的標識能夠讓用戶知道這個平臺是否是可信的。因為在云計算環(huán)境里，企業(yè)租戶去購買一個虛擬機后，其可能不知道虛擬機在什么平臺上面運行，也不知道這個服務器平臺是不是可信，是不是可以控制。而平臺的身份標識，則可以在一定程度上解決這個方面的問題。通過完整性的度量，把該平臺的特征，進行展現(xiàn)、核實。

還有就是密鑰。劉剛表示，通過密鑰的安全固化，將其寫到GTM保護的區(qū)域里面，來提高密鑰安全性。

此外，軟硬一體的安全可信解決方案還包括了底層基礎核心及云計算數(shù)據(jù)中心間的管理和應用，在可信服務器與應用程序之間，浪潮SSR操作系統(tǒng)安全增強系統(tǒng)將起到承上啟下的作用。浪潮的SSR產品能夠從根本上對服務器操作系統(tǒng)的惡意攻擊免疫，將木馬、后門、沖擊波、振蕩波等蠕蟲類病毒和內外網的黑客攻擊拒之門外。

構建安全可信的云主機方案

目前，由于技術缺失和市場壟斷等因素的存在，行業(yè)信息化系統(tǒng)面臨隨時隨地威脅，黑客可能隨時輕易的利用后門、漏洞等便利條件，從主機系統(tǒng)中竊取重要數(shù)據(jù)?？尚欧掌髯鳛橹鳈C戰(zhàn)略的延續(xù)，強化了云數(shù)據(jù)中心核心數(shù)據(jù)資產的保護，并帶動了芯片、處理器、操作系統(tǒng)、應用軟件等整個產業(yè)鏈生態(tài)發(fā)展的進程。

浪潮可信服務器

同時，可信服務器是云主機安全可信的根基。浪潮云主機安全可信技術，將融合可信計算、操作系統(tǒng)加固、虛擬計算安全等技術，以可信芯片為根，構建鏈接固件、VMM、Guest OS和上層應用的信任鏈，來應對云主機的各種威脅。

浪潮可信服務器

對于浪潮安全可信云主機的產品架構，劉剛介紹到，在配備有可信服務器的安全可信云主機區(qū)，可實現(xiàn)在虛擬機里的OS可信引導，并可針對應用進行隔離保護，在防護功能上要較普通的安全云主機區(qū)更具優(yōu)勢。而在云主機安全管理中心，可進行主機防御策略管理、信任鏈構建管理、虛擬機遷移可信支持管理、虛擬可信模塊管理、可信模塊安全參數(shù)管理和統(tǒng)一審計管理等等管控功能。

據(jù)悉，浪潮推動并實現(xiàn)了在TPM2.0標準版本上，中國商用密碼管理規(guī)范標準算法SM2、SM3和SM4在云計算中的實際應用，支持并滿足國內可信計算應用需求。并從云主機安全可信、軟件的健康上線、云服務的受控訪問、云數(shù)據(jù)的集中管控、云安全感知與服務、異地容災備份，這個六大目標幫助云數(shù)據(jù)中心的運營管理者達成目標。

浪潮基于可信服務器的云主機安全可信解決方案將提供從硬件平臺、云操作系統(tǒng)到應用容器的三層安全可信防護體系，從“源頭”為云計算提供更好的安全可控防護，消除企業(yè)在部署云計算時的最大擔憂，為客戶構建安全可信的云。