將工作負載移往雲端,安全性是企業的重點考量之一,Google從3月開始,發布了一系列雲端的安全性更新,更在5月的時候發布了安全的沙盒容器Runtime gVisor,以及機密運算開發框架Asylo。而在Cloud Next大會上,同樣也釋出了一系列雲端安全技術,而Google宣布在GCP上,Shielded虛擬機器測試版上線,其具備不受Rootkit和其他惡意軟體攻擊的高安全性。

Shielded虛擬機器使用了一系列先進的安全控制技術,幫助使用者抵禦Rootkit和Bootkit這類惡意軟體,確保使用者的虛擬機器不會被任意竄改,以有效保護企業工作負載免於遠端攻擊、特權提升(Privilege Escalation)或來自內部的惡意威脅等攻擊。Shielded虛擬機器採用了安全與測量啟動(Secure and Measured Boot)、虛擬可信平臺模組(vTPM)、可信UEFI韌體以及全面性監控等技術。

Google解釋了這幾項安全性技術所帶來的優點。安全啟動能協助系統在早期啟動程序時,防止載入惡意程式碼,而測量啟動則能確保啟動程式、核心與啟動驅動程式的完整性,阻擋駭客對於虛擬機器的惡意修改。虛擬可信平臺模組可用於驗證訪客虛擬機器預啟動與啟動的完整性,在訪客作業系統上,vTPM能產生並且安全儲存加密金鑰或是敏感資料。vTPM相容於Trusted Computing Group TPM 2.0規格。

可信UEFI韌體是基於統一可延伸韌體介面(Unified Extended Firmware Interface,UEFI)2.3.1打造,用於取代老舊的BIOS子系統,並能啟用 UEFI安全啟動功能。而且透過Stackdriver的日誌紀錄和監控,使用者能深入了解Shielded虛擬機器狀態的完整性,透過全面監測虛擬機器的安全基準和當前運作的狀態變化,能帶給企業完全掌握Shielded虛擬機器安全性的信心。


Advertisement

更多 iThome相關內容