更新时间:2025-10-17 GMT+08:00
分享

隔离维度1

QingTian系统的初始设计目标之一就是要支持将客户工作负载与CSP云基础设施之间进行安全隔离,这包括QingTian裸机实例和QingTian虚拟机实例。

  • 对于QingTian裸机实例,QingTian Cards与主机系统完全隔离,由于主机系统没有运行QingTian Hypervisor,客户完全独占访问底层主板系统并能够使用相关的CPU硬件特性(如ARM TrustZone)。
  • 对于QingTian虚拟机实例,我们基于QingTian Hypervisor提供了轻量化重构设计、最小攻击面设计、防篡改设计和热升级技术设计,组合使用这些技术,可以提供与裸机实例类似的隔离强度。
图1 隔离维度1

QingTian系统在这一隔离维度上采用如下方法来实现QingTian虚拟机实例的安全增强:

  • 强隔离:QingTian系统是一种前后端分离式VMM架构,前端和后端系统是基于PCIe总线的物理隔离。前端Hypervisor基于硬件辅助虚拟化和自研VRAM内存管理机制来确保虚拟机之间内存和I/O访问隔离,QingTian Cards通过SR-IOV支持VM实例直通访问硬件设备。并且使用强绑核来固定虚拟机的运行CPU,QingTian Hypervisor无需调度CPU,避免上下文切换带来的侧信道攻击风险。
  • 防逃逸:基于最小TCB的设计理念,QingTian Hypervisor代码极致裁剪,仅保留虚拟化运行所需的最基本代码,无网络协议栈,无本地盘,无配置文件,无SSH管理工具等。相比传统虚拟化管理系统,QingTian Hypervisor代码量不足其1%,极大程度上消减了VM逃逸风险。
  • 防篡改:QingTian系统使用强制的安全启动和可信度量。QingTian控制器首先执行安全启动,确保启动环境符合预期后再验证QingTian Hypervisor镜像文件完整性并引导主机系统启动QingTian Hypervisor。
  • 保护密钥:QingTian Cards内置独立的硬件安全模块,基于硬件保护的身份认证来建立与ECS控制面的可信接入,避免软件凭证泄露导致的节点身份伪造。QingTian控制器使用硬件安全模块来保护Volume加密、VPC加密所需的密钥材料,在硬件环境中实现数据密钥派生,确保数据密钥不出硬件。
  • 无人接触生产:QingTian Hypervisor不提供任何可用于远程登录的机制。云服务运维人员通常只能使用运维API来进行远程诊断,没有内部人员可以获得系统特权去访问客户实例的内存数据。

相关文档