什么是可信计算
可信计算是实现云租户计算环境高级安全的重要功能之一。通过在虚拟化层面上使用可信虚拟化技术(vTPM)作为可信根,构建从系统启动到用户指定应用的信任链,并实现远程证明机制,从而为用户提供从启动阶段到运行阶段的全方位可信保障。在系统和应用中加入可信验证,可以显著降低因使用未知或被篡改的系统/软件而遭受攻击的风险。
说明
当前仅对部分用户开放试用可信云主机功能,如您需要体验,请联系客户经理。
支持可信系统的实例规格
鲲鹏网络增强通用型ks2xne
鲲鹏网络增强计算型kc2xne
鲲鹏网络增强内存型km2xne
创建可信云主机
创建可信云主机的步骤与创建普通云主机基本一致,以下仅列出与可信相关的关键配置。通用配置请参见:创建弹性云主机。
登录天翼云管理控制台。
单击左上角选择区域
,选择 华东1。
依次点击 计算 > 弹性云主机,进入云主机控制台,单击右上角创建云主机。
在 基础配置的规格列表中,选择支持可信系统的实例规格(见本文”支持可信系统的实例规格“)。
在 基础配置的镜像区域,勾选开启可信系统复选框,系统将自动展示支持可信系统的镜像,选择所需镜像。
按页面提示完成实例创建。
使用可信云主机
查看实例可信信息
登录弹性云主机控制台。
在云主机列表中:
可信状态图标为绿色:表示已开启可信系统。
可信状态图标为灰色:表示未开启可信系统。
单击已开启可信系统的实例名称/ID,进入详情页:
在主机信息区域,通过 可信实例 字段可查看开启状态。
选择可信计算页签,查看详细可信信息。
可信信息说明
资产启动概况:以圆圈表示各PCR(平台配置寄存器),每个PCR对应启动过程中的一个特定环节。圆圈颜色含义:
全部绿色:启动过程正常,实际度量值与标准值一致。
红色(当前环节)+ 灰色(后续环节):表示当前环节出错。
资产中组件可信状态:与上方的PCR圆圈一一对应。
PCR度量对象说明:
pcr0:表征SRTM、BIOS、嵌入式可选ROM、PI驱动等。
pcr1:表征主机平台配置。
pcr2:表征UEFI驱动、应用代码。
pcr3:表征UEFI驱动、应用配置、应用数据。
pcr4:表征UEFI启动管理代码(通常是MBR)。
pcr5:表征UEFI启动管理代码(通常是MBR)、启动相关数据(由UEFI启动管理代码使用的数据)、GPT分区表。
pcr6:表征平台生产厂商定义的特定UEFI固件。
pcr7:表征安全启动策略。
pcr8:表征在grub.cfg等配置文件中规定执行的关键命令(不会度量非关键命令,例如定义启动菜单标题的命令),以及传递给Linux内核的命令行信息。
pcr9:表征GRUB模块、Linux内核和initramfs。
说明
PCR即平台配置寄存器(Platform Configuration Register),是可信安全设备的存储单元,能够可靠地存储启动过程中收集的状态信息。每个PCR对应启动过程中的一个特定环节,PCR值表征各环节中度量对象的状态。如果PCR中存储的实际度量值与预期的标准值一致,则认为该环节符合预期。
处理可信异常信息
当某个环节出错(对应圆圈变红)时,需在可信异常处理模块进行处置。
在云主机详情页选择可信计算页签,进入可信异常处理模块。
系统会列出启动过程中出错的环节信息,支持以下操作:
加入白名单
将当前实际度量值设置为新的标准值,后续相同度量值不再告警。适用于系统升级或维护后,确认状态正常的情况。
标记为已处理
忽略或删除该安全事件。适用于已通过其他方式完成分析与修复的场景。
