Alibaba Cloud menerapkan berbagai tindakan teknis—seperti enkripsi perangkat keras, isolasi, dan audit pengguna—untuk menyediakan lingkungan komputasi terisolasi yang aman dan andal. Alibaba Cloud juga menawarkan perlindungan keamanan di berbagai tingkat guna memenuhi beragam kebutuhan keamanan dan performa.
Ikhtisar
Alibaba Cloud menyediakan enkripsi memori default, komputasi tepercaya (vTPM), serta kemampuan komputasi rahasia yang mencakup Confidential VM dan enklaf.
Enkripsi memori default: Enkripsi memori melindungi data memori dari serangan fisik dan meningkatkan keamanan data di cloud. Anda dapat memperoleh perlindungan keamanan tingkat tinggi ini tanpa perlu mengubah sistem operasi atau aplikasi Anda. Keluarga instans g8i tujuan umum, c8i, keluarga instans yang dioptimalkan untuk komputasi, dan keluarga instans lainnya mendukung enkripsi memori secara default.
Kemampuan komputasi tepercaya: Instans tepercaya menggunakan virtual Trusted Platform Module (vTPM) pada lapisan hypervisor sebagai Akar Kepercayaan (Root of Trust). Hal ini memungkinkan boot tepercaya untuk server Elastic Compute Service (ECS) dan memverifikasi komponen inti selama startup instans guna memastikan bahwa komponen tersebut tidak dimodifikasi secara tidak sah.
Kemampuan komputasi rahasia: Kemampuan ini menggunakan enkripsi dan isolasi perangkat keras CPU untuk menyediakan Lingkungan Eksekusi Tepercaya (Trusted Execution Environment/TEE). TEE melindungi data dari modifikasi yang tidak sah. Anda juga dapat menggunakan remote attestation untuk memverifikasi bahwa platform cloud dan instans berada dalam kondisi aman yang diharapkan.
Keamanan enklaf: Alibaba Cloud menyediakan kemampuan komputasi rahasia berbasis Intel SGX 2.0 dan enklaf virtualisasi Alibaba Cloud. Kemampuan ini secara signifikan mengurangi Trusted Computing Base (TCB), sehingga meminimalkan permukaan serangan potensial bagi layanan Anda. Dengan demikian, Anda dapat membangun lingkungan rahasia yang lebih aman dan tepercaya. Untuk informasi selengkapnya, lihat Bangun lingkungan komputasi rahasia SGX dan Bangun lingkungan komputasi rahasia berbasis enklaf.
Keamanan Confidential VM: Confidential VM memungkinkan Anda menjalankan beban kerja sensitif di cloud menggunakan komputasi terenkripsi. Hal ini tidak memerlukan perubahan kode pada aplikasi Anda dan membantu melindungi data sensitif Anda. Alibaba Cloud menyediakan kemampuan Confidential VM berbasis Intel TDX. Untuk informasi selengkapnya, lihat Bangun lingkungan komputasi rahasia TDX.
Selain itu, Alibaba Cloud menerapkan chip keamanan perangkat keras buatan sendiri, yaitu Ali-PRoT (Platform Root-of-Trust), pada host ECS. Chip ini menyediakan keamanan perangkat keras dan firmware dasar siap pakai tanpa perlu konfigurasi tambahan. Kemampuan intinya meliputi hal-hal berikut:
Pengukuran firmware proaktif: Sebelum host dinyalakan, PRoT memverifikasi integritas firmware seperti BIOS dan BMC. Berbeda dengan metode pencatatan pasif tradisional, PRoT dapat secara proaktif mendeteksi dan memblokir ancaman potensial sebelum firmware dieksekusi. Hanya server yang telah diverifikasi yang diperbolehkan untuk dinyalakan, sehingga menjamin keamanan host sejak sumbernya.
Proteksi anti-pemalsuan saat runtime: Selama host berjalan, sistem ini terus-menerus memantau operasi baca-tulis firmware. Sistem ini memblokir akses dan modifikasi yang tidak sah secara real-time untuk memastikan lingkungan bisnis tetap tepercaya.
Otentikasi identitas perangkat keras: Sistem ini memanfaatkan identitas perangkat keras unik yang disediakan oleh chip, bersama dengan sistem kontrol keamanan platform cloud, untuk melakukan otentikasi identitas server fisik secara aman. Hal ini secara efektif mencegah perangkat yang tidak sah mengakses platform cloud dan meningkatkan tingkat keamanan keseluruhan platform.
Diagram ikhtisar kemampuan keamanan
