IBM Cloud® Virtual Private Cloud (VPC) 专为安全云计算而设计,我们平台规划、开发和运营的多项功能有助于确保这一设计。但是,由于云中的安全性通常是云服务提供商和客户之间的共同责任,因此您必须充分了解您的工作负载在我们这里运行的安全层。因此,我们在此详细介绍 IBM Cloud VPC 的几个关键安全组件,旨在为我们的虚拟服务器客户提供安全计算。
让我们从虚拟机管理程序开始
虚拟机管理程序是任何虚拟服务器基础架构的关键组件,旨在提供一个安全的环境,客户工作负载可以在其中运行 和 云原生服务可以运行。其整个堆栈(从硬件和固件到系统软件和配置)必须受到保护,免受外部篡改。固件和管理程序软件是可修改代码的最低层,是供应链攻击和其他特权威胁的主要目标。内核模式 rootkit(也称为 bootkit)是一种特权威胁,很难被端点保护系统(例如防病毒软件和端点检测和响应 (EDR) 软件)发现。它们在任何保护系统之前运行,能够掩盖自己的存在,从而隐藏自己。简而言之,确保供应链本身的安全至关重要。
IBM Cloud VPC 实施了一系列控制措施,以帮助解决我们部署的硬件、固件和软件的质量、完整性和供应链问题,包括部署前的资格认证和测试。
IBM Cloud VPC 的第四代 Intel® 至强®基于虚拟服务器的虚拟服务器使用普遍的代码签名来帮助保护平台的完整性。通过此过程,固件在源点进行数字签名,并在安装前对签名进行身份验证。在系统启动时,平台安全模块会验证系统固件映像的完整性 前 系统处理器的初始化。固件反过来对虚拟机管理程序(包括设备软件)进行身份验证,从而在平台安全模块硬件中建立系统的信任根。
设备配置和验证
IBM Cloud Virtual Servers for VPC 提供了多种配置文件选项(vCPU + RAM + 带宽配置捆绑包),以帮助满足客户的不同工作负载需求。每种配置文件类型都通过一组产品规范进行管理。这些产品规格概述了服务器的物理硬件组成、固件组成和配置。软件包括但不限于主机固件和组件设备。这些产品配置文件由硬件领导团队开发和监督,并进行版本控制以供在我们的虚拟服务器群中使用。
当新的硬件和软件资产被引入我们的 IBM Cloud VPC 环境时,它们也会映射到产品规范,该规范概述了它们的预期配置。然后,接收验证过程会在服务器进入队列之前验证其实际物理组成是否与规范相符。如果存在物理成分不符合规格的情况,服务器将被封锁以进行检查和修复。
摄入验证过程还验证固件和硬件。
此验证有两个维度:
- 固件先由批准的供应商签名,然后才能安装到 IBM Cloud Virtual Server for VPC 系统上。这有助于确保只有经过批准的固件才能应用于服务器。 IBM Cloud 与多家供应商合作,帮助确保对固件进行签名,并将组件配置为拒绝未经授权的固件。
- 只有通过 IBM Cloud 管理规范批准的固件才有资格安装。受管理的规范会定期更新,以添加新的合格固件版本并删除过时的版本。这种类型的固件验证也会作为服务器接收过程的一部分以及在任何固件更新之前执行。
服务器配置也通过受监管的产品规范进行管理。某些解决方案可能需要自定义统一可扩展固件接口 (UEFI) 配置、启用某些功能或实施限制。产品规范管理配置,这些配置通过服务器上的自动化应用。服务器在运行时由 IBM Cloud 的监控和合规性框架进行扫描。
规范版本化和推广
如前所述,IBM Cloud VPC 虚拟服务器管理流程的核心组件是产品规范。产品规范是定义文件,其中包含所维护的所有服务器配置文件的配置,并由相应的 IBM Cloud 产品领导者和以治理为重点的领导团队进行审查。它们共同控制和管理要应用的服务器批准的组件、配置和固件级别。以治理为中心的领导团队在需要时努力实现共性,而产品领导者则专注于提供价值和市场差异化。
重要的是要记住,规范并不是一成不变的。这些定义文件是动态文档,随着新固件级别的发布或服务器硬件的增长以支持额外的供应商设备而不断发展。因此,IBM Cloud VPC 规范流程进行了版本控制,以捕获整个服务器生命周期中的更改。每个服务器部署都会捕获其部署时所使用的规范版本,并提供预期状态与实际状态的标识。
规范的推广也是必要的。更新规范后,并不一定意味着它会立即在生产环境中生效。相反,它会在投入生产之前通过适当的开发、集成和预生产(分阶段)渠道。根据设备的类型或正在解决的修复,部署的速度甚至可能有不同的时间表。
图1:IBM Cloud VPC规范推广流程
IBM Cloud VPC 上的固件通常会分批更新。在可能的情况下,它可能会实时更新,尽管某些更新需要停机。一般来说,由于实时迁移,我们的客户看不到这一点。然而,随着固件更新逐步投入生产,可能需要一些时间才能让客户满意。因此,当通过管道提升规范更新时,它会通过各种运行时系统启动更新。更新的速度通常由更改的严重程度决定。
IBM Cloud VPC 虚拟服务器如何设置硬件信任根
IBM Cloud Virtual Servers for VPC 包括称为平台安全模块的信任硬件根。除其他功能外,平台安全模块硬件旨在在主处理器启动之前验证平台固件映像的真实性和完整性。它使用批准的证书验证图像的真实性和签名。平台安全模块还存储平台固件映像的副本。如果平台安全模块发现主机上安装的固件映像没有使用批准的证书进行签名,则平台安全模块会在初始化主处理器之前将其替换为其映像之一。
在初始化主处理器并加载系统固件后,固件负责验证虚拟机管理程序的引导加载程序,作为安全引导过程的一部分,该过程旨在建立信任链中的下一个链接。固件在加载之前验证引导加载程序是否已使用授权密钥进行签名。当相应的公共密钥在服务器的密钥数据库中注册时,密钥就被授权。一旦引导加载程序被清除并加载,它就会在内核运行之前验证内核。最后,内核在将所有模块加载到内核之前对其进行验证。任何未通过验证的组件都会被拒绝,从而导致系统启动停止。
安全启动与平台安全模块的集成旨在建立一道防线,防止通过供应链攻击或服务器上的特权操作注入未经授权的软件。只有使用 IBM Cloud 证书签名的经批准的固件、引导加载程序、内核和内核模块以及之前批准的操作系统供应商的固件、引导加载程序、内核和内核模块才能在 IBM Cloud Virtual Servers for VPC 上引导。
上述固件配置过程包括根据最初批准的列表验证固件安全启动密钥。这些包括授权密钥数据库中的启动密钥、禁止密钥、交换密钥和平台密钥。
安全启动还包括将额外的内核和内核模块签名密钥注册到第一阶段引导加载程序 (shim) 中的功能,也称为机器所有者密钥 (mok)。因此,IBM Cloud 的操作系统配置流程也被设计为只有经过批准的密钥才能在 mok 设施中注册。
一旦服务器通过了所有资格并被批准启动,就会建立一个审核链,该链植根于平台安全模块的硬件,并扩展到加载到内核中的模块。
如何在 IBM Cloud VPC 虚拟服务器上使用经过验证的虚拟机管理程序?
好问题。默认情况下,对于受支持的 IBM Cloud Virtual Servers for VPC,虚拟机管理程序验证处于启用状态。选择第 3 代虚拟服务器配置文件(例如 bx3d、cx3d、mx3d 或 gx3),如下所示,以帮助确保您的虚拟服务器实例在经过管理程序验证的受支持服务器上运行。这些功能可以作为现有产品的一部分随时提供,客户可以通过部署具有第 3 代服务器配置文件的虚拟服务器来利用这些功能。
图 3:IBM Cloud Virtual Servers for VPC,第 3 代
IBM Cloud 不断发展其安全架构,并通过引入新特性和功能来增强其安全架构,以帮助支持我们的客户。要了解有关 IBM Cloud Virtual Servers for VPC 的更多信息,请访问我们的产品页面。要了解有关 IBM Cloud VPC 的更多信息,请访问我们的解决方案页面或深入我们的文档中心查看教程、入门指南、完整的配置文件列表等。
立即探索 IBM Cloud
这篇文章有帮助吗?
是的不