-
华为云弹性服务器-文档签名验证
接下来,我们将介绍证明文档的验证过程。当您从QingTianHypervisor请求证明文档时,您将会收到一个包含已签名证明文档的二进制blob。已签名的证明文档是一个由CBOR编码,COSE签名的对象。整个验证过程包括以下几个步骤: 1. 解码CBOR对象并将其映射到COSE_Sign1结构中 2. 从COSE_Sign1结构中提取证明文档 3. 验证证书文档中CA证书链的有效性 4. 验证证明文档的数字签名的有效性 证明文档由华为云QingTianAttestation PKI签署。华为云Q…
-
华为云弹性服务器-证明文档
证明文档用于证明QingTian Enclave实例的可信度量结果。证明文档由QingTianHypervisor生成,文档内容包括PCR列表、QingTianPKI证书链、密码算法声明以及Enclave应用自定义数据。证明文档由华为云QingTian Attestation PKI (Public Key Infrastructure)签署。 QingTianHypervisor生成的证明文档以简明二进制对象表示(CBOR)进行编码,并用CBOR Object Signing and Encr…
-
华为云弹性服务器-PCR简介
QingTian Enclave的度量值是由标准可信度量运算得到的一组哈希值(Hashes)组成,这组哈希值保存在QingTian安全模块(QingTian Security Module, QTSM)的平台配置寄存器(Platform configuration registers,PCR)。 说明: QingTian Enclave度量值最多可支持32个PCR。QingTian系统占用index 0~15的PCR,用户的Enclave应用可使用index 16~31的PCR。 使用debug…
-
华为云弹性服务器-启动QingTian Enclave
资源隔离 启动QingTian Enclave虚拟机之前,您首先要在父虚拟机内隔离资源供QingTian Enclave虚拟机使用。隔离的资源包括cpu个数和内存大小,可以通过在虚拟机内访问修改*/etc/qingtian/enclave/qt-enclave-env.conf*配置文件指定需要隔离的资源: #1G大页 hugepage_size:1024 #内存1G. memory_mib:1024 # cpu个数 cpu_count:2 # cpu列表 # cpu_list:2,3 我们建议…
-
华为云弹性服务器-构建QingTian Enclave镜像
在开发人员开发完成一个QingTian Enclave应用程序后,还需要在一个可信赖的环境中构建QingTian Enclave镜像文件(.eif)。该镜像文件提供了启动QingTian Enclave实例所需要的所有信息,包括应用程序代码、运行时依赖、操作系统和文件系统等。在本节我们将说明如何创建QingTian Enclave镜像文件。 制作docker源镜像 用户将开发好的enclave应用程序及其相关的执行环境打包成docker镜像。详情可见Linux系统上QingTian Enclav…
-
RDS 误删实例急救指南 5 步找回数据
一、引言 AWS RDS(关系型数据库服务)的实例误删是企业运维中常见的高危操作。百度热搜显示,”aws 实例终止怎么恢复” 和 “aws 删除实例意外恢复” 是用户最急迫的需求。本文将通过5 个标准化步骤,手把手教你从误删实例中抢救数据,最大限度减少损失。 二、急救操作步骤如下 第一步:确认备份状态(黄金 72 小时) 操作重点: 登录 AWS 控制台 → 进入 RDS 服务 → 查看 “自动备份” 是否启用。 检查备份保…
-
华为云弹性服务器-QingTian Enclave概念
QingTian Enclave QingTian Enclave是完全隔离的虚拟机,它的内存和CPU来自于其父虚拟机被预先隔离出来的资源。QingTian Enclave既没有外部网络,也没有持久化存储。父虚拟机内的进程、应用程序、内核或者用户都无法访问QingTian Enclave中的资源。 父虚拟机 父虚拟机是一个能够将其CPU及内存资源隔离分配给QingTian Enclave的ECS实例。这些资源能够在QingTian Enclave的生存周期内被其使用。启动QingTian Enc…
-
华为云弹性服务器-什么是QingTian Enclave?
在现有的基于QingTian架构的虚拟机产品中,我们增加了一个置于其内部的,安全的、完全隔离的虚拟机,这个虚拟机我们称之为QingTian Enclave虚拟机,外部对这个QingTian Enclave虚拟机具备所有权的虚拟机,我们称之为父虚拟机。QingTian Enclave是完全独立的虚拟机,无持久化存储、交互式访问或外部网络连接。父虚拟机与QingTian Enclave之间通过安全的本地通道进行通信。即使是父虚拟机上的root用户,也不能访问QingTian Enclave或通过 S…
-
如何通过控制台连接ECS实例?
引言:作为云计算核心服务,阿里云 ECS 的首次连接常让新手困惑。本文将手把手教您通过控制台实现安全连接,并附赠高频问题解决方案。 通过控制台实现ECS实例安全连接操作如下 访问ECS控制台-实例。 在页面左侧顶部,选择目标资源所在的资源组和地域。 单击目标实例ID进入实例详情页,单击远程连接。 在远程连接对话框中,单击通过Workbench远程连接对应的立即登录。 在登录实例对话框中,输入密码,单击登录,完成登录。 进入Windows桌面,则表示登录成功。 登录到ECS实例后,就可以根据需求使…
-
华为云弹性服务器-查询ECS审计事件
场景描述 云审计服务能够为您提供云服务资源的操作记录,记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息,以及操作返回的响应信息。根据这些操作记录,您可以很方便地实现安全审计、问题跟踪、资源定位,帮助您更好地规划和利用已有资源、甄别违规或高危操作。 什么是事件 事件即云审计服务追踪并保存的云服务资源的操作日志,操作包括用户对云服务资源新增、修改、删除等操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。 什么是管理类追踪器和数据类追踪器 管理追踪器会自动识别并关联…
