有哪些物理服务器的安全? |
随着虚拟技术与云计算的火热,越来越多的人将注意力放在了虚拟机与虚拟网络的安全上面。当然确实也是目前一个趋势与发展方向,但虚拟化的安全与物理设备的安全就如同一个天平的两端,过于重视一端就可能遗漏了另一端的问题。今天陆零云想聊聊物理服务器层面的安全问题。 物理服务器安全之硬件部分 对于硬件层面的安全问题主要集中在可信计算方面,建立一个安全可信的运行环境是可信计算的主要目的。TPM安全芯片是目前业界的主流解决方案,也是很多上层安全技术的基础。它解决以下几个问题: 存储,管理秘钥,如BIOS密码,硬盘加密密码等 生成秘钥,使用不同的加密算法来创建 磁盘加密,为上层提供磁盘加密功能,如Windows的Bitlocker 以及其他加解密相关的支持,如生成随机数 TPM本质上是一个安全的协处理器。服务器上CPU众多,为什么还需要一个这样的协处理器呢?加解密工作是一个非常耗CPU的任务,如果你的程序里有进行加解密运算,你一定要警惕它的性能问题。记得早前的一个做信用卡卡号处理的项目,当数据量少时一切正常,一旦数据量大到一定程度,CPU就是100%。当时我们分析了各种原因,有人说是内存太小导致频繁磁盘交换,有人说线程太多,任务切换过于频繁等。最后拿性能剖析工具一查,才知道是加解密模块吃掉了所有CPU计算资源。因此对于服务器来说,尽管CPU很多但是还是需要一个专业干加解密的硬件设备。 说到TPM就不得不提TCG(可信计算组),这是一个由主流设备生产厂商发起的组织,主要的目的是解决当时业界已经面临的个人计算平台安全问题。具体的历史可以查看维基百科,但也不是所有人都认同可信计算的,主要的争论点是采用可信计算方案相当于个人的信息对这些厂家来说是公开的,也就是一个对厂家公开的后门。所以在国内,政府的要求是采用TCM而不是TPM,TCM与TPM功能类似,唯一不同是加密算法是采用国内研究机构开发的。安全嘛,只有自己人才可信:) |