精华内容
下载资源
问答
  • 云中
    2019-09-24 18:06:14

    云中步

      很高兴,在星辉斑斓里,与你相逢。
      如同你的名——浮云,在你的字里行间,迷漫着淡淡的愁绪,如云聚散,挥之不去,在我心里,汇聚成河,徘徊如歌。
      你可以剥夺笔的快乐,可以尘封不语,漠然静侯,看云起云落。可是,你怎么能够阻挡如潮而涌的思恋,一泻千里的真情?
      除非,天边云散尽,江河水枯竭。
      我从不隐瞒自己,当我快乐亦或哀愁,笔就成了宽慰我的老友,与我共享喜怒哀乐,何必举杯空愁。就这样,多年之后,竟然把我的灵魂勾勒。
      如你所说:人总觉得快乐那么短暂,痛苦却遥遥无期。那么,在遥遥无期的底站,迎接你的又是哪一个?是最初的一朵玫瑰,还是挥手的生死吻别?
      所以,我们才去追逐,追逐那个端坐云端,如花绽放的美人。尽管有时候,如云飘落,可有谁能说清,人生的意义是追逐还是获取,是过程还是结果呢?
      我是一个,健康向上,充满热情,满怀希望的男子,可这并不妨碍我心怀梦想,追求荣光。有时候,为了如期完成工作,为了完善一次作业,为了把老师迎合,我会加班加点,锦上添花;有时候,我会关掉灯光,燃一捧红烛,打开音响,听一曲别亦难、梦秦关,营造浪漫。也会偶舒胸怀:
      千里江山万户侯,漫天飞絮舞衣袖。
      一枪傲指三千里,闲暇书生人风流。
      看到了么,这就是我:世俗,不庸俗;浪漫,不散漫;热血,不流血。
      如果,嫁给了世俗,并不可怕,因为要食人间烟火;可怕的是,心甘情愿地许给了庸俗,因为心已死,情已绝!
      为什么,你脚踏黄土,身在世间,却害怕自己心怀梦想呢,如果没有那个充满希翼的梦想,就算是雪化了,那么,春天会来么?看来,你要去问问孩子们…….
      少年时,我有一个的梦想,希望山的那一边,在白云升起的地方,在桃花迷漓的江南,有个一满怀愁绪的姑娘,撑着油纸伞,伫立断桥之上,看我摇橹的小船,一路摇晃,滑过她的身旁……
      那么,当我写下上面的文字,你会笑我的痴狂吗?你会说我不过是在追逐一个美丽的肥皂泡吗?
      可是,谁又能阻止飞扬的灵魂,谁又能忘却最初的美丽,也许那回眸一笑的羞涩,会伴我直到生命的终点。
      你说,这对现实有何妨碍呢?难道,这不是一种唯美、至真的生活情调?
      浮云无语,红尘掠影,你如何隐藏?
      在你清瘦纤纤的文字背后,在蓦然回首的灯火阑珊处,我已看清,你黯然太息的身影。
      只是,窗外海棠,东篱残花,今夕何夕?
      倘若,庭院深深,不见飞花落画,不见你颦眸流转,那夕阳柳岸,羌笛一声,能锁住你多少心事,几多愁?那时的你,是否微笑依然,星光灿烂?
      行云流水,人生几何。问世间,有谁共你,观云断霞飞,听涛声依旧,盼鸿雁声声归?
      很想听听你的故事。也许,那不是一段经典的传说,但一定是我心中最动人,最美。
                                                                         ——2010.7.3写于天之痕新浪博客

    转载于:https://www.cnblogs.com/Mrt-02/archive/2011/05/22/2053886.html

    更多相关内容
  • AutoML是一个很宽泛的术语,理论上来说,它囊括从数据探索到模型构建这一完整的数据科学循环周期。但是,我发现这个术语更多时候是指自动的特征预处理和选择、模型算法选择和超参数调优,这些步骤处在数据科学流程的...
  • GDITC Aka Gaming Desktop In The Cloud Aka Gaming Desktop In The Cloud Gpu Desktop In The Cloud 笔记 : 这还不是 100% 清理,它现在对我有用,但我必须消除一些怪癖 但我认为分享已经很有用 ...
  • TermitUp TermitUp是用于丰富术语的工具:给定特定领域的语料库,TermitUp可以执行统计术语提取,并使用一系列语言过程和外部工具(例如Añotador( ),以清除时间表达式。 然后,它会查询几种语言资源(语言链接...
  • 云中数据安全 云是不安全的。 开发人员通过经验知道,由于错误的代码以及与远程服务器和数据中心的不安全Internet连接,软件和服务器遭到了黑客攻击。 您可以将使用云计算与将贵重物品锁在停车场的手提箱中进行比较...

    云中数据安全

    云是不安全的。 开发人员通过经验知道,由于错误的代码以及与远程服务器和数据中心的不安全Internet连接,软件和服务器遭到了黑客攻击。 您可以将使用云计算与将贵重物品锁在停车场的手提箱中进行比较。 本质上,两者都容易受到攻击。 在本文中,我们解释了云为何不安全的原因,但我们还通过说明通过创建BugHeist来说明一些Django示例,来研究减轻任何不安全因素的方法。

    有很多有缺陷JavaScript,PHP和Python代码为黑客注入恶意JavaScript和SQL创造了漏洞。 这些错误代码通过电子邮件附件,链接和浏览器提供,爬入了基于云的数据库,黑客可以在其中执行远程命令来窃取专有数据。

    为什么您的应用可能很弱

    许多软件开发人员和安全专业人员指出,缺少软件开发生命周期(SDLC)中内置的安全软件是造成如此多的软件漏洞的重要原因。 添加紧迫的部署截止日期,您将有罪魁祸首,这些漏洞会渗透到计算机网络,数据中心,云计算平台和移动应用程序中的漏洞,这些漏洞会渗透到消费者和公司使用的互联网连接平台和设备。

    有很多有缺陷JavaScript,PHP和Python代码为黑客注入恶意JavaScript和SQL创造了漏洞。 这些错误代码通过电子邮件附件,链接和浏览器提供,爬入了基于云的数据库,黑客可以在其中执行远程命令来窃取专有数据。

    许多开发人员无法通过在其应用程序开发实践中放弃安全套接字层(SSL)认证和验证来尽快发布应用程序,从而无法保护其数据。 SSL协议包含一个证书,该证书可确保使用超级文本传输协议安全(HTTPS)在Internet上将它们存储在Web服务器上的文件通过Internet来回发送到访问者的浏览器时被加密。 如果没有HTTPS和SSL保护,黑客可以通过其局域网和广域网中的路由器拦截和监视数据包,从而进行中间人攻击。

    他们还可以通过地址解析协议(ARP)欺骗来劫持数据。 当黑客在本地网络上搜索特定的IP和媒体访问控制(MAC)地址时,此方法有效。 一旦他们确定了目标的IP和MAC地址,ARP就会抓取并冒充他们,将数据包从路由器发送给毫无戒心的用户。

    在过去的几年中,API成为了应用程序开发的组成部分。 它们会自动向网站和移动应用程序添加功能,但是它们也不安全。 您是否测试了添加到脚本中的第三方API,以检查它们是否在您的软件环境中允许不良行为者? 许多API无法包括OAuth和两因素身份验证之类的方法来保护往返于基于云的服务器和数据中心的数据。 OAuth使用令牌来验证和保护客户端和服务器之间的数据,并且它是开源的。

    由于组织的软件安全策略存在缺陷,因此许多应用程序都会破坏用户数据。 去年,我们通过第三方云协作工具为布鲁克林的制造商Alpha One Labs创建了一个协作工作组,在其中我们为LCD帽子,激光滚动标牌,3D POV显示器,智能回收箱和机器人食品创建了原型。交换。 该工作组中的电子邮件地址已公开暴露,并且被抓取和发送垃圾邮件。 已与云公司联系以解决此问题,但该公司花了大约2到3个月的时间才创建了保护地址并将其私有的功能。

    对于这家云计算公司和其他各种未能解决其软件安全性问题(使它们在收到通知后仍可以保持活动几周或几个月)的组织感到沮丧 ,诞生了一个使用Django的名为BugHeist的应用程序。 它奖励个人报告和修复他们在Internet上发现的软件和硬件错误,这些错误从安全漏洞到设计,性能和功能问题不等。

    为什么选择Django?

    当他想到构建BugHeist的想法时,我们考虑了许多框架/平台,包括C ++,Java和PHP。 在分析了这些框架之后,我们认为Django最有意义,因为Django通过将安全代码嵌入其框架来保护数据免受最常见的软件黑客攻击。

    自2016年7月启动BugHeist以来,该网站已帮助大约100家公司识别并解决了350多个软件错误和问题。 有关Django开源框架的更多详细信息,请访问djangoproject.com 。 要了解有关BugHeist开源平台的更多信息,可以访问https://github.com/owasp/blt上的GitHub存储库

    让我们看一些有关云安全性问题的特定Django示例。 Django使您能够激活可保护您的站点免受以下安全问题的软件:跨站点伪造,跨站点脚本编写,SQL注入,点击劫持,不安全的SSL / HTTPS和不受保护的主机头验证。 我们将在下面详细介绍这些安全风险。

    跨站点伪造请求(CSRF)

    当包含恶意代码的浏览器从Web服务器窃取数据并将其发送到假站点时,就会发生CSRF。 另一个实例可以是一个网站,其中包含A帧,图像标签,或者其他不良代码触发了对欺诈网站的不安全HTTP请求。

    由于初始浏览器请求已通过带有嵌入的身份验证令牌的网站的HTTPS / SSL协议批准,因此Web服务器将验证并执行恶意代码的命令,就好像它是用户的故意浏览器请求一样。 实际上,恶意代码更改了浏览器初始请求中的原始代码,将其设计为在伪装成毫无戒心的用户的同时窃取未经授权的数据。

    激活Django的CSRF中间件,可确保带有POST元素的表单不受创建请求以窃取您网站中未经授权的数据的代码的影响。

    这是保护BugHeist免受跨站点请求伪造的示例代码。 默认情况下,它包含在Django的“中间件类”部分中:
    django.middleware.csrf.CsrfViewMiddleware

    为确保攻击者不会通过注入到BugHeist的“ Post” HTML和PHP / Python中的代码窃取专有信息,我们对以下CSRF令牌标签进行了编码:

    <form class="form" action="/issue/"/method="post" enctype="multipart/form-data">
    {% csrf token %}

    跨站点脚本(XSS)

    黑客使用这种跨站点脚本编写方法将恶意代码注入网站和移动应用程序。 该代码被嵌入到毫无戒心的用户浏览器中,该浏览器将检索未经授权的数据并将其发送给可疑方。

    存储的XSS是将恶意代码脚本存储在网站服务器上并在浏览器向后端请求时执行的。 当用户发送嵌入有从服务器窃取代码的脚本的浏览器请求时,这称为Reflected XSS。

    默认情况下,除非在变量中将变量显式标记为“安全”,否则Django会对其进行转义或保护。

    SQL注入

    如果开发人员在为SQL数据库开发应用程序时无法清理其输入代码,则它为个人提供了从后端获取专有数据的理想载体。

    黑客只是在代码中寻找一个易受攻击的位置,然后插入SQL查询以返回可以在Dark Web上出售或用于勒索组织(如医院或政府机构)的数据。

    使用Django时,您可以通过内置的对象关系映射(ORM)进行SQL注入防御。 ORM是另一个使用面向对象编程而不是SQL代码的软件层,它为您提供了一种反复访问,编写和更新安全查询的方法。 因为它允许您使用熟悉的编程语言编写查询,所以ORM可以帮助加快后端更新。

    点击劫持

    在这种情况下,用户单击站点和移动应用程序上的按钮或链接,以掩盖恶意代码,这些恶意代码会在不知情的情况下重定向其操作。

    Django通过中间件选项自动检测并保护网站免受可疑iframe请求的侵害,该中间件选项可防止浏览器呈现包含此错误代码的脚本。 它还具有PBKDF2bcrypt ,这是不能通过使用带有已解密密码哈希的彩虹表来破解的加密标准。 PBKDF2和bcrypt也使用大量函数来进一步随机化数据,因此也需要花费大量时间进行计算或创建,这对于黑客强行使用它们具有挑战性。

    不安全的SSL / HTTPS

    没有HTTPS和SSL架构的网站和移动应用服务器会发起黑客攻击。 如果没有该协议,用户的浏览器将无法确认它与服务器之间的安全连接,因为他们将无法验证站点的域名,拥有站点的组织以及在证书中加密的其他凭据。由第三方证书颁发机构颁发。

    未受保护的主机头验证

    为了保护您的网站或移动应用程序,您的所有连接都应在网站连接到的每个页面中都带有HTTPS标头。 HTTPS是包含HTTP传输安全性(HSTS)策略的Internet安全协议的一部分。 此策略使开发人员可以在浏览器中注册其证书,以便它们可以预加载HTTPS凭据,以便可以根据需要进行验证。 另外,发送到您的Web应用程序的任何HTTP请求都将转换为与Django的HTTPS连接。

    以下代码显示了SQL和JavaScript代码,这些代码可保护数据库免受SQL注入和Django中不安全的HTTP / SSL请求的侵害:

    if ‘DATABASE_URL’  in os.environ:
    DEBUG = False
    EMAIL_HOST = ‘smtp.sendgrid.net’
    EMAIL_HOST_USER = os.environ.get ( ‘SENDGRID_USERNAME ’, ‘blank’)
    EMAIL_HOST_PASSWORD = os.environ.get (‘SENDGRID_PASSWORD’ , ‘blank’)
    EMAIL_PORT = 587
    EMAIL_USE_TLS = True
    If not TESTING:
         SECURE_SSL_REDIRECT = True
     
    GS_ACCESS_KEY_ID = os.environ.get ( ‘GS_ACCESS_KEY_ID’ , ‘blank’)
    GS_SECRET_ACCESS_KEY = os.environ.get ( ‘ GS_SECRET_ACCESS_KEY’ , ‘blank’)
    GS_BUCKET_NAME = ‘bhfiles’
    DEFAULT_FILE_STORAGE = ‘storages.backends.gs.GSBotoStorage’
    GS_FILE_OVERWRITE = False
    GS_QUERYSTRING_AUTH = False
    MEDIA_URL = “https://bhfiles.storage.googleapis.com/”
     
    ROLLBAR =  {
    ‘access_token’ : os.environ.get ( ‘ROLLBAR_ACCESS_TOKEN’ , ‘blank’),
    ‘environment’ : ‘development’ if DEBUG else ‘production’ ,
    ‘root’ : BASE_DIR,
    ‘exception_level_filters’:  [
    (Http404, ‘warning’ )
    ]
    }
    import rollbar
    rollbar.init (**ROLLBAR)
     
    # local dev needs to set SMTP backend or fail at startup
    if DEBUG:
    EMAIL_BACKEND =  ‘django.core.mail.backends.console.EmailBackend’
     
    ACCOUNT_EMAIL_REQUIRED  =  True
    ACCOUNT_USERNAME_REQUIRED  =  True
    ACCOUNT_EMAIL_VERIFICATION  =  “optional”
    
    # Honor the ‘X-Forwarded-Proto’ header for request.is_secure( )
    SECURE_PROXY_SSL_HEADER = ( ‘HTTP_X_FORWARDED_PROTO’ , ‘https’)

    成为更好的应用程序安全开发人员

    由于市场的需求,开发人员继续创建更多的Web应用程序,并且将多个设备上的云连接应用程序集成到个人的工作和家庭生活中,这使得软件安全至关重要。

    以下是一些想要提高软件安全技能的开发人员的技巧:

    • 参与漏洞赏金活动,您可以分享在网站,移动应用程序和计算机网络上发现的软件和硬件错误,以获取赞助这些活动的公司的现金。
    • 与其他开发人员和产品经理一起为您的组织制定应用程序安全策略。
    • 参加有道德的黑客马拉松比赛并夺取国旗(CTF)事件。
    • 将您的编程技能贡献给一个开源项目。
    • 参加由OWASP和其他组织组织的行业会议,讨论最新的安全软件开发。
    • 加入现场和在线活动以及论坛,共享安全编码实践的最佳实践。
    • 通过SANS研究所,国际信息系统安全认证协会(ISC)²,国际电子商务顾问理事会(EC-Council)和其他软件行业协会等组织提供的在线和面对面课程来研究应用程序安全性。

    翻译自: https://www.ibm.com/developerworks/security/library/se-think-apps-are-secure/index.html

    云中数据安全

    展开全文
  • 很多家长在选择学校的时候也会关注学校的排名,排名靠前才能让更多人的觉得这所学校好,虽然说学校的好坏也不能全靠学校排名而决定的,但是如果连排名都没排上,那这所学校应该都不怎么样,这跟同学们排名是一样的。...

    很多家长在选择学校的时候也会关注学校的排名,排名靠前才能让更多人的觉得这所学校好,虽然说学校的好坏也不能全靠学校排名而决定的,但是如果连排名都没排上,那这所学校应该都不怎么样,这跟同学们排名是一样的。

    重庆云阳中学排名

    重庆市云阳中学在市排名第15,在地区排名第1

    重庆云阳中学办学成果

    教育成绩斐然。学校注重学生的全面发展,素质教育全面推进,教育教学成绩不断跃上新台阶。近年高考上线人数及重点大学上线率一直均居重庆市前列,稳居渝东片区前茅,遥居云阳县第一;考取北大、清华、复旦、南开、浙大、北师大、中科大等名校的学生数百人。近两年来,学生参加各类竞赛获国家、省市级奖励250余人次,在国家、省市级刊物发表文艺作品200余篇。

    3ec032ea5daa6a5475766eb3740e5a35.png

    重庆云阳中学师资力量

    师资力量雄厚。学校现有学生4000余名,在职教职工319人。专任教师275人,有一大批德高业精的优秀教师活跃在讲台上,其中研究员、特级教师和国家级骨干教师6名,重庆市级骨干教师15名,云阳县名师6名(全县总共10名),中学高级教师55名,中学一级教师95名。近两年来,教师在国家、省市级刊物发表及获市级以上奖励的教研论文、文艺作品200余篇;一批优质课(教案)陆续获奖,其获奖质量和数量均居全县各校之首。

    重庆云阳中学办学特色

    办学特色鲜明。云阳中学秉承百年办学传统,形成了“文化育人”的办学特色。校园幽美宜人,生机勃勃,品位高雅;并用中外名人名字对道路和花园命名,激励学生树名人之志,走名人之路。校园文化活动丰富多彩,各班积极开展形式各异的班会活动,学校建立了“校园之声”广播站、电视台、“小百花艺术团”,开办了声乐、器乐、舞蹈、书法美术、电脑制作等十几个兴趣小组,学生创办《白云》《校园生活》《校园英语》等杂志。同时,学校每周星期六晚举行“激情广场”演出或者“周末影院”,浓浓的文化气息感染着每个学生。

    重庆云阳中学高考率

    2012年高考成绩:1人被清华大学录取,该校理科一名学生682分,获全县理科状元。全县理科总分前10名,该校占9名。文科一名学生654分,获全县文科状元。全县文科总分前7名均为该校学生。600分以上114人,其中文科28人,理科86人。重点本科上线713人,其中文科126人,理科587人。本科上线1563人,其中文科446人,理科1117人。高考总上线2007人,其中文科608人,理科1399人;总上线率98%。

    重庆云阳中学教师成绩

    2014年11月10日,在首届渝东片区9区县高中英语优质课大赛中,该校英语教师王炼荣获一等奖。2014年11月7日,在云阳县第二届中小学生综合运动会足球比赛决赛中,该校杨焕老师获优秀教练员称号。2014年,在学校年度青年教师优质课赛课活动中,王洪、赵丹丹、何佑伟、马浪等4名教师荣获一等奖。2014年,在三峡名校联盟青年教师“卓越课堂”赛课活动中。向巍、涂小云等2名老师荣获一等奖,陈冉、赵玉立、徐桃、朱润军、朱兴亮等5名老师荣获二等奖。2014年,在2014年高中优质课大赛活动中,该校青年教师彭海林、徐桃荣获生物、物理学科一等奖;数学教师黄金平获得二等奖。赛课成绩名列130余所市级重点中学前茅。

    老师和父母常说,不懂就要问,如果你不问你就一直不懂,问比想简单,学习是讲究方式方法的,而不是一味的磨,要学会独立思考,不耻下问,在过程中会增强记忆也会帮助你成长。

    展开全文
  • 我们的专有技术从干净的计算机收集硬盘驱动器信息,并将此信息的表示存储在云中。当HitmanPro检测到硬盘驱动程序上的挂钩时,它会查询云计算如何解决它。这允许HitmanPro绕过启动记录中的rootkit并检查实际的感染...
  • 云中数据Security is one of the most important pillars for an organization. Worryingly, there has been an increase in the number of CVEs (Common Vulnerabilites and Exposures) every year, for e.g. in ...

    云中数据

    Security is one of the most important pillars for an organization. Worryingly, there has been an increase in the number of CVEs (Common Vulnerabilites and Exposures) every year, for e.g. in just last three months, there have been 5959 new security loopholes found. There is even a twitter feed to follow every new vulnerability as it is announced (not for the faint-hearted!).

    安全是组织最重要的Struts之一。 令人担忧的是,每年CVE(通用漏洞和暴露)的数量在增加,例如在最近三个月内,发现了5959个新的安全漏洞。 甚至还有一个Twitter 提要,用于关注每个已宣布的新漏洞(不适合胆小的人!)。

    数据安全性-不同状态 (Data security — in different states)

    Data is primarily in three states — at-rest, in-transit or in use. In the last years, the focus has primarily been on security of data at-rest and in-transit. Data at-rest can be encrypted at file, filesystem or disk level. Data in-transit has been more and more secure with the increased adoption of HTTPS. More and more companies are even moving towards stronger RSA encryption.

    数据主要处于三种状态-静止,运输或使用中。 在过去的几年中,重点主要放在静态数据和传输中数据的安全性上。 静态数据可以在文件,文件系统或磁盘级别进行加密。 随着越来越多的HTTPS的采用,传输中的数据越来越安全。 越来越多的公司甚至朝着更强大的RSA加密迈进。

    Image for post
    © SSL Labs — Key strength distribution comparison between July 8, 2020 and June 3, 2020
    ©SSL Labs — 2020年7月8日至2020年6月3日之间的主要强度分布比较

    Data-in-use security however had been ignored, but has grained traction lately for multiple reasons:

    但是,使用中的数据安全性已被忽略,但近来由于许多原因而受到关注:

    • Attack vectors — As data-at-rest and in-transit have gotten more secure, the attackers have started to exploit the vulnerabilities of data-in-use, mainly using malwares / memory snooping / memory scraping. Attack vectors on the cloud include hypervisor and container breakout, firmware compromise, and insider threats.

      攻击媒介 -静态数据和传输中数据变得更加安全时,攻击者已开始利用正在使用的数据的漏洞,主要使用恶意软件/内存监听/内存抓取。 云上的攻击媒介包括虚拟机管理程序和容器突破,固件泄露以及内部威胁。

    • Costs of data breaches — As more and more regulations are introduced in various places (GDPR in Europe, CCPA in California etc.), there has been a monetary cost associated with data breaches, other than the loss of brand image and general embarrassment. For e.g. under GDPR, the data custodian is to pay 4% of gross annual revenue for a data breach.

      数据泄露的成本 —随着越来越多的法规在各个地方(欧洲的GDPR,加利福尼亚的CCPA等)出台,除了品牌形象的丧失和普遍的尴尬之外,还有与数据泄露相关的金钱成本。 例如,根据GDPR,数据保管人应为数据泄露支付年度总收入的4%

    • Reluctance in Cloud Adoption — Many companies have been reluctant in adopting the public cloud because of the lack of security while data-in-use or because the regulation prohibits it or unauthorized access to their code (intellectual property) or the fear of data compromise etc.

      磁阻在采用云 -许多公司都不愿意在采用的,因为缺乏安全的公共云,而数据在使用或因为调控禁止它或它们的代码(知识产权),未经授权的访问或数据泄漏等的恐惧。

    The problem of data-in-use security is what is primarily confronted in Confidential computing. So let’s dive in.

    使用数据的安全性问题是机密计算中主要遇到的问题。 因此,让我们开始吧。

    机密计算 (Confidential Computing)

    Confidential computing aims to protect your code and data from being compromised. Confidential computing is achieved using hardware-based Trusted Execution Environments (TEE), also known as Enclaves, however there are other ways of data protection called Homomorphic encryption and Trusted Platform Modules (TPM).

    机密计算旨在保护您的代码数据免遭破坏。 使用基于硬件的可信执行环境( TEE )(也称为Enclaves )可以实现机密计算但是还有其他数据保护方式,称为同态加密和可信平台模块(TPM)。

    Image for post
    © Confidential Computing Consortium
    ©机密计算联盟

    Important: It’s important to clear up what confidentiality and integration stand for here. Confidentiality stands for prevention of any unauthorized view, whereas Integrity stands for prevention or detection of any unauthorized change.

    重要提示 :在这里清除机密性和集成性很重要。 机密性代表防止任何未经授权的查看 ,而完整性代表防止或检测任何未经授权的更改

    Confidential computing requires a mix of software and hardware where hardware normally serves as the root of trust for security purposes.

    机密计算需要软件和硬件的混合,其中出于安全目的,硬件通常是信任的基础。

    飞地/ TEE (Enclaves / TEEs)

    The basic idea in confidential computing is to reduce your attack surface area, for e.g. on traditional systems, if some attacker is able to get root access to your machine where you keep your keys, not much can be done to stop this attack. However if you run an application in an Enclave (TEE), the application can run protected from even the OS kernel, with the guarantee that even a user running with root privileges cannot extract the Enclave’s secrets or compromise its integrity.

    机密计算的基本思想是减少攻击的范围,例如在传统系统上,如果某些攻击者能够对您保留有密钥的计算机进行root访问,那么阻止该攻击的工作就很多。 但是,如果您在Enclave(TEE)中运行应用程序,则即使在操作系统内核的保护下,该应用程序也可以运行,并确保即使具有root特权的用户也无法提取Enclave的机密或损害其完整性。

    Image for post
    Trusted Computing Base 可信赖计算基地

    In Confidential Computing, the only other thing that you trust is your CPU. Any calls to the OS go through the enclave, thus enclave has to either bypass the call to the OS in case this call poses no security threat or provide a secure alternative to the OS call.

    在“机密计算”中,您唯一信任的另一件事就是您的CPU。 对OS的任何呼叫都会经过安全区,因此,安全区必须绕过对OS的呼叫,以防此调用不会造成安全威胁,或者为OS调用提供安全的替代方案。

    Enclaves ensure that only authorized code can access the data (Data confidentiality). In case the code has been tampered with, the Enclave denies the operation (Code Integrity). Enclaves however have no industry standard and the technologies can be varied. There are multiple frameworks that allow you to develop application using multiple TEE backends, hardware or software, for e.g. Google offers Asylo , whereas Microsoft has OpenEnclave.

    安全区确保只有授权代码才能访问数据(数据机密性)。 万一代码被篡改,Enclave会拒绝该操作(代码完整性)。 但是,飞地没有行业标准,因此技术可以变化。 有多种框架可让您使用多个TEE后端,硬件或软件来开发应用程序,例如Google提供了Asylo ,而Microsoft提供了OpenEnclave

    Enclaves can be enabled through hardware isolation technologies such as Intel SGX or ARM TrustZone, or through additional software layers such as a hypervisor, for e.g. Microsoft’s Virtual Secure Mode is a software-based TEE implemented by Hyper-V.

    可以通过诸如Intel SGXARM TrustZone之类的硬件隔离技术或通过诸如hypervisor之类的其他软件层来启用Enclaves,例如, Microsoft的Virtual Secure Mode是由Hyper-V实现的基于软件的TEE。

    同态加密 (Homomorphic encryption)

    Homomorphic Encryption provides the ability to compute on data while the data is encrypted. It can thus protect arbitrary data, but by itself cannot ensure that the correct operations have been done and that the code has not been tampered with, whereas an Enclave/TEE protects both the data and the code.

    同态加密提供了在加密数据时对数据进行计算的功能。 因此,它可以保护任意数据 ,但其本身不能确保已完成正确的操作且代码未被篡改,而Enclave / TEE 既保护数据又保护代码

    可信平台模块(TPM) (Trusted Platform Modules (TPM))

    TPM protects keys, but by itself cannot vouch for the validity of the data signed or encrypted by those keys, and it is not programmable with arbitrary code, whereas an Enclave/TEE is programmable and protects that code and its data.

    TPM保护密钥,但是它本身不能保证由那些密钥签名或加密的数据的有效性,并且不能用任意代码编程,而Enclave / TEE是可编程的并且可以保护该代码及其数据。

    机密计算的用例 (Use cases of Confidential Computing)

    • Public Cloud use — Enhanced protection guarantees provided by Confidential computing enable many workloads to move to the public cloud which previously could not due to security concerns or compliance requirements.

      公共云的使用 -机密计算提供的增强保护保障使许多工作负载可以迁移到公共云,而以前由于安全问题或合规性要求而无法实现。

    • Better collaboration opportunities — Better isolation and confidentiality provided by confidential computing allows companies to work together without worrying about their IP being stolen or data being compromised.

      更好的协作机会 -机密计算提供了更好的隔离性和机密性,使公司可以一起工作,而不必担心IP被盗或数据遭到破坏。

    • Mobile and personal computing devices — Better guarantees for the customers that their personal data is not observable by anyone else during data processing.

      移动和个人计算设备 -更好地向客户保证在数据处理期间其他任何人都无法观察到他们的个人数据。

    • Edge and IoT — A lot of machine-learning use cases can be enabled in the presence of confidential computing, for e.g. CCTV camera surveillance, where the provider needs to load templates of persons of interest that could be harmful if leaked.

      边缘和物联网 —在存在机密计算的情况下,可以启用许多机器学习用例,例如CCTV摄像机监控,提供商需要加载感兴趣的人员模板,如果泄漏这些人员可能会有害。

    机密计算产品 (Confidential Computing Offerings)

    谷歌云 (Google Cloud)

    Google Cloud recently released Confidential VMs (in Beta) which keep data encrypted in memory and elsewhere outside the central processing unit (CPU). Memory encryption ensures that data is encrypted while it’s in RAM. Main memory encryption is performed using dedicated hardware within the on-die memory controllers. Each controller includes a high-performance Advanced Encryption Standard (AES) engine. The AES engine encrypts data as it is written to DRAM or shared between sockets, and decrypts it when data is read. This makes the content of the memory more resistant to memory snooping and cold boot attacks.

    Google云端最近发布了机密VM(处于Beta版),该数据可将数据加密在内存中以及中央处理器(CPU)之外的其他地方。 内存加密可确保数据在RAM中时被加密。 主内存加密是使用片上内存控制器中的专用硬件执行的。 每个控制器都包含一个高性能的高级加密标准(AES)引擎 。 AES引擎在将数据写入DRAM或在套接字之间共享时对其进行加密 ,并在读取数据时对其进行解密 。 这使得内存内容更能抵抗内存监听和冷启动攻击。

    Confidential VMs leverage the Secure Encrypted Virtualization (SEV) feature of 2nd Gen AMD EPYC™ CPUs. AMD Secure Encrypted Virtualization uses keys to cryptographically isolate individual virtual machines and the hypervisor from one another. The keys are managed by the AMD Secure Processor. An attacker with hypervisor administrator access or a compromised VM account may try to read the memory of other virtual machines. With SEV, the attacker sees only encrypted data.

    机密VM利用第二代AMD EPYC™CPU的安全加密虚拟化 (SEV)功能。 AMD安全加密虚拟化使用密钥将各个虚拟机和虚拟机管理程序彼此加密隔离 。 密钥由AMD安全处理器管理。 具有管理程序管理员访问权限或虚拟机帐户受到攻击的攻击者可能会尝试读取其他虚拟机的内存。 使用SEV,攻击者只能看到加密数据

    Confidential VMs are built on Shielded VMs (enabling protection against rootkits and bootkits) and allow for any workload to be deployed without any change whatsoever.

    机密VM建立在Shielded VM上(可针对rootkit和bootkit进行保护),并允许在不进行任何更改的情况下部署任何工作负载。

    Image for post

    The performance hit because of encryption/decryption has been shown to be 1–6%.

    加密/解密导致的性能下降已显示为1–6%。

    Image for post

    蔚蓝 (Azure)

    Azure offers DCsv2-series VM that uses hardware-based trusted execution environments (TEEs). Even cloud administrators and datacenter operators with physical access to the servers cannot access TEE-protected data. It uses Intel SGX hardware which protects your data and keeps it encrypted while the CPU is processing it, even the operating system and hypervisor cannot access it, nor can anyone with physical access to the server.

    Azure提供了DCsv2系列VM ,该VM使用基于硬件的受信任执行环境(TEE)。 即使对服务器具有物理访问权限的云管理员和数据中心操作员也无法访问受TEE保护的数据。 它使用Intel SGX硬件来保护您的数据,并在CPU处理数据时对其进行加密,即使操作系统和虚拟机管理程序也无法访问它,任何具有物理访问服务器权限的人也无法访问它。

    Unlike Google Cloud’s Confidential VMs where you can use any workload, with Azure’s offering you can’t just use any workload so you might have to rewrite application or work with one of Azure partners like Anjuna.

    与您可以使用任何工作负载的Google Cloud机密VM不同,使用Azure的产品,您不仅可以使用任何工作负载,因此您可能不得不重写应用程序或与其中一个Azure合作伙伴(例如Anjuna)合作。

    Image for post

    AWS (AWS)

    AWS offers Nitro Enclaves which uses the same Nitro Hypervisor technology that creates the CPU and memory isolation among EC2 instances, to create the isolation between an Enclave and an EC2 instance. Nitro Enclaves are virtual machines attached to EC2 instances that come with no persistent storage, no administrator or operator access, and only secure local connectivity to your EC2 instance.

    AWS提供了Nitro Enclaves ,它使用相同的Nitro Hypervisor技术在EC2实例之间创建CPU和内存隔离 ,以在Enclave和EC2实例之间创建隔离。 Nitro Enclaves是连接到EC2实例的虚拟机, 没有持久性存储,没有管理员或操作员访问权 ,并且仅保护与EC2实例的本地连接。

    Nitro Enclaves includes cryptographic attestation for your software, so that you can be sure that only authorized code is running, as well as integration with the AWS Key Management Service, so that only your enclaves can access sensitive material. Nitro Enclaves are currently available only in preview.

    Nitro Enclaves包括软件的加密证明 ,因此您可以确保仅授权代码正在运行,并且可以与AWS Key Management Service集成,以便只有您的Enclaves才能访问敏感材料。 Nitro Enclaves当前仅在预览中可用。

    Image for post

    结论 (Conclusion)

    All three clouds have gone different ways. Google Cloud’s Confidential VMs provides a very smooth experience if you are only looking for data integrity and confidentiality. However if you are looking for code integrity and confidentiality, you’d have to use Asylo as mentioned earlier, which although is not an official Google product.

    所有三朵云都走了不同的方式。 如果您只是在寻找数据完整性和机密性,那么Google Cloud的机密VM可以提供非常流畅的体验。 但是,如果您要寻找代码完整性和机密性,则必须使用前面提到的Asylo,尽管它不是Google的正式产品。

    Azure’s offering uses hardware-based trusted execution environments (TEEs) which although doesn’t allow easy integration for all workloads. AWS Nitro enclaves are very promising as they are able to leverage Nitro for isolation and security. It will be interesting to see how these technologies evolve and which cloud ultimately offers the easiest path to confidential computing as a whole.

    Azure的产品使用基于硬件的受信任执行环境(TEE),尽管该环境不允许所有工作负载轻松集成。 AWS Nitro飞地非常有前途,因为它们能够利用Nitro来实现隔离和安全性。 有趣的是,这些技术是如何发展的,以及哪种云最终为整体机密计算提供了最简单的途径。

    翻译自: https://levelup.gitconnected.com/confidential-computing-in-the-cloud-64183d3bdb31

    云中数据

    展开全文
  • 因此在迁移前,您需要在华为云中创建一个或多个弹性云服务器。进入“弹性云服务器”页面。关于参数的详细信息,请参见购买弹性云服务器。Windows系统的目的端服务器“规格”中的“内存”大小要不小于2GB。“镜像”...
  • kubernetes 常用镜像仓库 daocloud的docker镜像库: daocloud.io/library docker-hub的k8s镜像库: mirrorgooglecontainers aliyun的k8s镜像库: registry.... aliyun的docker镜...
  • Windows下清除Redis缓存 1.进入Redis根目录 2.运行redis-cli.exe 3.执行:dbsize 4.执行:flushall 5.执行:exit Linux系统清除Redis缓存 1,进入目录redis下src目录。 #cd redis-2.8.17/src 2,执行redis-cli文件 ...
  • owin 怎么部署在云中Cloud hosting has quickly grown to become one of the most popular hosting solutions available. Cloud computing in general eliminates the need to rely on dedicated hardware to ...
  • 因此在迁移前,您需要在华为云中创建一个或多个弹性云服务器。进入“弹性云服务器”页面。关于参数的详细信息,请参见购买弹性云服务器。Windows系统的目的端服务器“规格”中的“内存”大小要不小于2GB。“镜像”...
  • owin 怎么部署在云中 关于“ 云 ”及其功能的宣传很多。 我感兴趣的事情之一是云解决方案,它可以帮助小型软件公司,尤其是对启动软件初创公司有所帮助。 开发团队可以利用这些好的工具来构建和测试自己的东西,...
  • 这样,你便可以在本地缓存最常访问的文件,并将不经常访问的文件分层到云中,从而节省本地存储空间,同时保持性能。 有关详细信息,请参阅规划 Azure 文件同步部署。 通过安装桌面体验,在早期版本的 Windows ...
  • 微服务云中部署应用与服务实战课程 微服务架构核心-容器新技术微服务系统实战课程 微服务架构是一项在云中部署应用和服务的新技术。大部分围绕微服务的争论都集中在容器或其他技术是否能很好的实施微服务,而红帽说...
  • 挂载地址物理路径 专属云中的专属资源池与公共资源池物理隔离,如果您的业务对安全合规性有较高要求,可以选择将裸金属服务器创建在专属云中。创建专属裸金属服务器有两种方式:在专属云控制台创建在云服务器控制台...
  • 如何在矩池云GPU云中跑DeepFaceLab

    千次阅读 2020-08-03 16:10:23
    用Linux系统跑DeepFaceLab的文章我之前已经写过好几篇,有专门针对阿里云的,也有专门针对滴滴云的。今天来搞一搞矩池云(Linux系统安装DFL最新版)。 这次的搞法会和以前不一样,这次将用可视化算的方法使用Linux...
  • 云中开发和测试

    2020-04-14 09:28:05
    还有其他一些有趣的测试功能,包括来自Sauce Labs的技术,该技术使您可以在云中的Web应用上运行Selenium测试,或针对不同的基于云的即时可用浏览器手动测试您的应用,所有这些均包含失败测试的视频记录和其他找到...
  • [转]云中的大数据

    千次阅读 2013-10-16 23:00:51
    大数据是云的固有特性,为使用传统、结构化的数据库信息,以及对社交网络、传感器网络数据及不那么结构化的多媒体执行业务分析...本文介绍使用 R 语言和类似工具来执行大数据分析,以及在云中扩展大数据服务的方法。文
  • 2、如何在云中实施大数据? 有充分的证据表明,企业可以通过在云上实施大数据解决方案来节省大量资金。但是具体要怎样做呢?实施大数据的第一步是确定企业自身是否真的需要它。 根据商业智能 (BI) 专家 Nick ...
  • 在将云计算作为数字核心的一部分之前,详细说明需要实现的目标是很重要的。随着云计算成为现代业务的首选模式,重要的是组织必须具有适当的环境来实施,并意识到面临的挑战。在成本效益方面,采用云服务通常可以节省...
  • 微服务云中部署应用与服务实战课程 微服务架构核心-容器新技术微服务系统实战课程 微服务架构是一项在云中部署应用和服务的新技术。大部分围绕微服务的争论都集中在容器或其他技术是否能很好的实施微服务,而红帽说...
  • 在阿来的《云中记》中,主人公阿巴闻到马匹汗水腥膻的味道,“阿巴已经有四年多时间没有闻到这令人安心的味道了。以前的他,身上也满是这种味道。”很难想象这是怎样一种腥臭却令思乡人满足的味道。 开犁节上老者...
  • 但是《云中的真相》则显示出不同的趋势:75%的企业与各大IaaS公有云提供商合作,超过58%的已选择了单一云服务提供商的企业计划将自身的资产扩展至多个云平台中,另有16%的受访企业声称,他们正在使用或计划选择5个...
  • mysql的binlog必不可少,但是不清理的话,50g的小云盘经受不住每天频繁的插入删除。所以binlog日志还需要删除。 解决办法来了: 一、手动清理 手动清理当然指的不是 rm -rf ** ,这样可能会导致 mysq-bin.index 错乱...
  • 回到最单纯的初心,在最空的地方安坐,让世界的吵闹去喧嚣它们自己吧!让湖光山色去清秀它们自己吧!让人群从远处走开或者自身边擦过吧!...”古语有云中的云是什么意思多少士子甚至穷其一生也得不到的进士身份,他...
  • 然而,虚拟化技术的涵盖面很广,这在云中是很有价值的。其中包含着一个普遍的虚拟化模型—容器技术。  在这个容器模型中,服务器运行通过构建半自治的容器来加载应用的操作系统。这些应用共享操作系统或主机,...
  • 现在,您可以以低廉的价格将数据整合到云中。 怎么样了? 我发现将结构化和非结构化数据都放在一个中央位置是一回事。 出于战术和战略原因,充分利用这些数据是另一回事。 企业常常将数据汇总在一起,但不知道如何...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 5,540
精华内容 2,216
关键字:

云中清