看了材料中关于自建和使用BaaS的对比,由于区块链技术的分布式特性,企业如果选择自建,一定程度上是无法充分发挥区块链的优势,选择租用的话,数据安全具体是如何保障的?材料提到的SSC的安全服务容器,具体有哪些特性?
安全问题一直都是云上的重要议题。作为BaaS,首要任务就是给租户提供安全的区块链节点。
网络黑客常常会利用系统漏洞发起攻击,获得root权限并使用ssh远程登录,植入木马以隐蔽而长期的劫持节点。
作为BaaS的基础架构的一部分,安全服务容器SSC禁止了root权限,也禁止了ssh远程登录。
进一步的,为了防止木马篡改引导记录,获取系统控制权,SSC使用LinuxONE特有的固件引导记录,一旦写入无法修改。从而也就无法被劫持。
为了防止内存越界访问,SSC也禁止了应用对内存地址的直接操作。
除此之外SSC还对所有管辖范围内的磁盘进行了全盘加密。
一言以蔽之,当SSC作为一个完整的软件栈部署完成之后,只有通过预定义好的REST接口才能对SSC内部进行修改,从而杜绝了一切可能的信息泄露。
作为SSC中受保护的区块链,各个节点的控制权完全属于各租户自己,所以依然是分布式的架构。
尽管数据安全是很多人在使用云服务时非常关注的一个问题,但是近些年我们也看到,有越来越多的客户会选择云平台作为其企业级生产系统的托管环境。
有很多自己建设的IT系统漏洞也非常多,所以也很难保证安全性;而专业的云服务厂商一般都会有非常完善的,隐私保护,以及防止攻击的能力。而且这个能力会随着云平台的不断完善而持续改进。
对于区块链系统而言,账本数据本身以加密的方式存储,这意味着即使有其他的人通过各种手段获取到了账本的数据,但是也没有办法将其破解,而获取其中有价值的内容。因此对于区块链环境而言,密钥的泄露才是,真正需要考虑的安全问题。而在云平台当中,用户的密钥,可以存储在云平台专有的硬件设备当中,可以充分保证用户的密钥不会被窃取,从而保证其数据的安全。
安全服务容器及ssc,是运行在IBM LinuxONE服务器上的特殊硬件,它通过加密启动数据和内存数据来保证,运行时环境不被攻击。同时这种容器屏蔽了,系统管理员的root权限,从而能够避免由于系统管理员人为失误导致的,系统故障。
有些用户可能由于监管的原因,希望将账本的数据也存储在自己本地。云平台应该提供这种扩展能力,允许用户将账本数据存储到本地。我相信有这样需求的用户会越来越多,而且应该会有越来越多的服务提供商能够提供类似的服务。
收起