全部产品
Search
文档中心

云服务器 ECS:安全能力概述

更新时间:Sep 25, 2023

阿里云致力于通过技术手段(硬件加密、隔离、用户审计能力等)为您提供安全可靠的隔离计算环境,并在此基础上为您提供了不同等级的安全保护能力,以满足不同用户对安全和性能的要求。

概述

当前阿里云主要提供默认内存加密、可信计算(vTPM)能力和机密计算(机密虚拟机Confidential VM和Enclave)能力。

  • 默认内存加密:内存加密可以加强内存数据的抗物理攻击能力,进一步提升云上数据的安全性。您无需对操作系统或应用进行任何改动,即可享受到更高一层的安全防护。目前仅通用型实例规格族g8i默认支持内存加密。

  • 可信计算能力:可信实例底层物理服务器搭载可信平台模块TPM(Trusted Platform Module)/可信密码模块TCM(Trusted Cryptography Module)作为硬件可信根TCB(Trusted Computing Base),实现服务器的可信启动,确保零篡改。并在虚拟化层面,支持虚拟可信能力vTPM,提供实例启动过程核心组件的校验能力。

  • 机密计算能力:通过CPU硬件加密及隔离能力,提供可信执行环境,保护数据不受未授权第三方的修改。此外,您还可以通过远程证明等方式验证云平台、实例是否处于预期的安全状态。

    • Enclave安全能力:阿里云基于Intel SGX 2.0和阿里云虚拟化Enclave为您提供机密计算能力,此能力可以将可信根TCB大大减小,降低业务可能受攻击和影响的范围,可支持用户打造更高安全等级的可信机密环境。更多信息,请参见构建SGX机密计算环境使用Enclave构建机密计算环境

    • 机密虚拟机(Confidential VM)安全能力:机密虚拟机可以在无需对其应用进行任何代码更改的情况下,将原有的敏感业务负载以加密运算的方式运行在云上,可以满足您对敏感数据的保护需求。当前阿里云提供了基于Intel TDX、AMD SEV的机密虚拟机能力。更多信息,请参见构建TDX机密计算环境

安全能力概览图

image

安全能力最佳实践