安全增强型实例规格族依托TPM/TCM芯片提供可信计算能力,部分安全增强型实例规格族(g7t、c7t、r7t)还基于Intel® SGX技术提供SGX加密计算能力,打造更高安全等级的可信机密环境。

可信计算能力

安全增强型实例规格族在硬件平台引入可信平台模块TPM(Trusted Platform Module)/可信密码模块TCM(Trusted Cryptography Module),以TPM/TCM芯片作为可信根TCB(Trusted Computing Base),通过使用UEFI安全固件、虚拟可信平台模块(vTPM/vTCM) 、远程证明服务,实现实例启动度量和完整性校验,从而保障实例的安全可信。

SGX加密计算能力

在使用基于软件的可信根时,如果软件自身存在安全漏洞,就难以保障数据安全。SGX的可信根仅包括硬件,进一步提升了安全等级。部分安全增强型实例规格族(g7t、c7t、r7t)在支持启动度量和完整性校验的基础上,基于Intel® SGX(Software Guard Extension)技术将物理机密计算能力传导至实例,vSGX实例均分配有加密内存。

SGX通过CPU内的加密引擎MEE(Memory Encryption Engine)对加密内存中的数据进行加密,加密后的数据只有在进入CPU后才会被解密成明文,由CPU保护您的隐私数据,防止被恶意代码窃取。因此在使用vSGX实例时,您可以不信任操作系统、虚拟化平台、甚至BIOS,只需要信任CPU即可确保隐私数据安全。关于如何使用SGX,请参见构建SGX加密计算环境

实例规格族的安全能力支持情况

实例规格族 支持可信计算 支持SGX加密计算