《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 電子元件 > 業(yè)界動(dòng)態(tài) > 中國芯片設(shè)計(jì)云技術(shù)白皮書2.0發(fā)布

中國芯片設(shè)計(jì)云技術(shù)白皮書2.0發(fā)布

2020-08-14
來源: 半導(dǎo)體行業(yè)觀察

  作為行業(yè)內(nèi)專業(yè)的IT/CAD技術(shù)服務(wù)團(tuán)隊(duì),,摩爾精英IT/CAD事業(yè)部曾于2019年11月21日的南京ICCAD大會(huì)上發(fā)表的《芯片設(shè)計(jì)云計(jì)算白皮書1.0》中,初步探索了基于公有云的EDA計(jì)算平臺(tái)的實(shí)現(xiàn)方案,。隨著進(jìn)一步的探索和方案優(yōu)化,,我們今天將發(fā)布《芯片設(shè)計(jì)云技術(shù)白皮書2.0》,進(jìn)一步升級(jí)迭代EDA云計(jì)算的實(shí)現(xiàn)方案,。在這一稿白皮書中,,將基于Azure云平臺(tái),呈現(xiàn)包括彈性算力,、安全方案,、EDA設(shè)計(jì)生態(tài)云模型等。

  以下內(nèi)容摘取《中國芯片設(shè)計(jì)云技術(shù)白皮書2.0》部分內(nèi)容:

  第二章  設(shè)計(jì)云平臺(tái)中國市場(chǎng)規(guī)劃

  第二節(jié) 芯片設(shè)計(jì)云生態(tài)規(guī)劃

  對(duì)比于國外半導(dǎo)體發(fā)展軌跡來看,,國外的半導(dǎo)體行業(yè)經(jīng)過30多年發(fā)展,,成就了一個(gè)個(gè)大公司,國外大公司的云計(jì)算之路的驅(qū)動(dòng)力更多在于混合算力的需要,,前面的案例中都顯示了這一點(diǎn),。而國內(nèi)的云計(jì)算之路的驅(qū)動(dòng)力則更偏重于資源共享的需要,。中國國內(nèi)的芯片設(shè)計(jì)企業(yè)眾多,規(guī)模小,、階段早,,以云計(jì)算技術(shù)為基礎(chǔ),將IP資源和技術(shù)支持,、PDK資源和技術(shù)支持,、EDA資源和技術(shù)支持、IT基礎(chǔ)架構(gòu)資源和技術(shù)支持,、CAD技術(shù)支持資源整合,、標(biāo)準(zhǔn)化,打造生態(tài)型的設(shè)計(jì)云平臺(tái),,極大地實(shí)現(xiàn)資源共享,、技術(shù)共享、平臺(tái)共享,,加速中國半導(dǎo)體事業(yè)發(fā)展,。

  中國現(xiàn)在的半導(dǎo)體行業(yè)得天獨(dú)厚,國內(nèi)的半導(dǎo)體發(fā)展正處于一個(gè)“百舸爭流千帆競(jìng)”的歷史發(fā)展特定時(shí)期,,充滿機(jī)遇與挑戰(zhàn),。當(dāng)前芯片行業(yè)的特點(diǎn),正由封閉模式轉(zhuǎn)向半開放模式,,市場(chǎng)投入以及政策支持,,正加速中國當(dāng)前出現(xiàn)越來越多的創(chuàng)業(yè)芯片公司,這些初創(chuàng)芯片公司都關(guān)注的是特定領(lǐng)域的芯片研發(fā),。在這樣的大環(huán)境下,,集大成的生態(tài)型設(shè)計(jì)云平臺(tái)呼之欲出,以云平臺(tái)的方式提供一個(gè)相對(duì)平等的環(huán)境,,支持協(xié)作和共享,,可以更靈活地幫助大量芯片公司共同發(fā)展。

  根據(jù)對(duì)半導(dǎo)體行業(yè)的深入研究和調(diào)查,,摩爾精英IT/CAD事業(yè)部對(duì)即將到來的國內(nèi)半導(dǎo)體行業(yè)戰(zhàn)略發(fā)展面臨的云計(jì)算平臺(tái)作出了戰(zhàn)略規(guī)劃,,“擁抱云計(jì)算,打造適合中國國情的芯片設(shè)計(jì)云生態(tài)模型”,。

  設(shè)計(jì)生態(tài)云模型

  2.1 統(tǒng)一云平臺(tái),,集成五要素

  以云計(jì)算為IT基礎(chǔ)底層,整合行業(yè)核心資源,,打造統(tǒng)一的芯片設(shè)計(jì)云平臺(tái),,集成包括:IT基礎(chǔ)架構(gòu)層與技術(shù)服務(wù)、CAD管理與技術(shù)服務(wù),、EDA資源池與技術(shù)服務(wù),、IP資源池與技術(shù)服務(wù),、PDK資源池與技術(shù)服務(wù)等五大技術(shù)支持平臺(tái)的整合型設(shè)計(jì)生態(tài)云平臺(tái)。

  設(shè)計(jì),、EDA,、IP、PDK在云計(jì)算平臺(tái)上可以各自成云,,彼此安全隔離,,數(shù)據(jù)共享可追溯,上傳下載加密,,形成安全高效的生態(tài)設(shè)計(jì)環(huán)境,。

  2.2 各自上云,永不落地

  核心資源包括IP,、PDK等,,可以在云平臺(tái)上,擁有各自供應(yīng)商的私有云空間,,數(shù)據(jù)對(duì)設(shè)計(jì)公司的開放與否,,一方面依賴于傳統(tǒng)合作協(xié)議與商務(wù)條約,,另一方面依賴于云平臺(tái)技術(shù)安全管控手段,。不同角色的用戶,例如IP供應(yīng)商,、晶圓廠,、EDA公司,對(duì)各自的數(shù)據(jù)擁有完全的管理權(quán)限,。重要數(shù)據(jù)在不同隔離區(qū)間進(jìn)行傳遞,,通過數(shù)據(jù)加密或指紋追蹤技術(shù),進(jìn)行有效的安全監(jiān)管,,對(duì)核心數(shù)據(jù)資源的管控做到各自成云,,永不落地。

  2.3 云計(jì)算三層架構(gòu)

  基于云計(jì)算的IT架構(gòu)包括IaaS層,、PaaS層,、SaaS層,分別管理物理層資源,、物理資源敏捷運(yùn)維,、應(yīng)用層資源以及應(yīng)用層資源自助管理。

  在設(shè)計(jì)生態(tài)云平臺(tái)上,,安全高效地整合了芯片設(shè)計(jì)開發(fā)所需的全部技術(shù)支撐,,可以做到對(duì)眾多芯片設(shè)計(jì)企業(yè)的平臺(tái)化支持,幫助他們可以短時(shí)間內(nèi)擁有更快更標(biāo)準(zhǔn)統(tǒng)一化的研發(fā)平臺(tái),,從而幫助他們更為容易地加快芯片開發(fā)與迭代速度,,為產(chǎn)品上市贏取時(shí)間,。通過設(shè)計(jì)生態(tài)云統(tǒng)一化的平臺(tái),更多的IP,、PDK和EDA資源可以快速匯集,、并提供統(tǒng)一的技術(shù)支持窗口,這也能對(duì)國內(nèi)EDA工具及IP的發(fā)展起到非常好的促進(jìn)作用,。

  掃碼可下載完整版

  《中國芯片設(shè)計(jì)云技術(shù)白皮書2.0》

  第三章  設(shè)計(jì)生態(tài)云技術(shù)架構(gòu)詳解

  在前一章節(jié)中闡述的5個(gè)技術(shù)角色以及芯片設(shè)計(jì)公司,,將在設(shè)計(jì)生態(tài)云上構(gòu)成一個(gè)多租戶的生態(tài)系統(tǒng)。相較于上一版白皮書的探討,,這次探討的設(shè)計(jì)生態(tài)云從技術(shù)上呈現(xiàn)的主要特征為:

  第一節(jié) 系統(tǒng)拓?fù)湓O(shè)計(jì)

  一個(gè)多租戶的云計(jì)算平臺(tái),,需要以下六類角色的參與:

  下圖是一個(gè)完整包括這六類角色的系統(tǒng)拓?fù)鋱D。

  第二節(jié) 云計(jì)算基礎(chǔ)架構(gòu)層

  云計(jì)算是在傳統(tǒng)物理數(shù)據(jù)中心的基礎(chǔ)上,,通過虛擬化技術(shù)實(shí)現(xiàn)物理資源的多租戶共享,,從而提高資源的利用率。云計(jì)算基礎(chǔ)設(shè)備服務(wù)即包括了計(jì)算,,存儲(chǔ),,網(wǎng)絡(luò)三部分的服務(wù)。用戶可以通過管理平臺(tái)快速自助的獲得所需要的計(jì)算能力,?;A(chǔ)設(shè)施服務(wù)(IaaS)是芯片設(shè)計(jì)云的基礎(chǔ),解決了各設(shè)計(jì)公司的計(jì)算資源峰值缺口問題,。

  從本地進(jìn)入到云端,,隨著環(huán)境的變化,對(duì)使用者,,維護(hù)者以及云供應(yīng)商都提出來全新的要求與課題,。從混合云上講,大部分大型設(shè)計(jì)公司,,都有原有的自建機(jī)房,,這部分計(jì)算資源在一定時(shí)期內(nèi)還承擔(dān)著主要的計(jì)算任務(wù),云上資源在開始兩三年還是以算力補(bǔ)充為主,。如何管理好云上資源,,做好與本地計(jì)算資源的協(xié)同,如何結(jié)合云供應(yīng)商的產(chǎn)品能力以及企業(yè)自身的要求,,對(duì)IT管理人員提出了新的要求,。同時(shí)值得注意的是平臺(tái)服務(wù)部分,從短期來看,,對(duì)芯片設(shè)計(jì)云沒有直接的使用價(jià)值,,但是從長期看,利用平臺(tái)服務(wù)(PaaS)可以快速實(shí)現(xiàn)基于數(shù)據(jù)的先進(jìn)應(yīng)用,如基于歷史數(shù)據(jù)的設(shè)計(jì)優(yōu)化建議,,更完整的安全閉環(huán)管理等,。

  第三節(jié) 設(shè)計(jì)云管理平臺(tái)

  對(duì)于設(shè)計(jì)公司使用的設(shè)計(jì)環(huán)境可以理解為各種設(shè)計(jì)資源的有效結(jié)合,例如:硬件資源(服務(wù)器,,存儲(chǔ),,網(wǎng)絡(luò)),軟件資源(EDA工具,,版本管理工具),,其他資源(IP,PDK)等,。隨著設(shè)計(jì)工藝的發(fā)展,,設(shè)計(jì)環(huán)境變得更加復(fù)雜。如何快速搭建和高效管理設(shè)計(jì)環(huán)境成為了現(xiàn)在CAD服務(wù)最挑戰(zhàn)的課題,。

  設(shè)計(jì)云管理平臺(tái)(DCMP,,Design Cloud Management Platform)就是針對(duì)芯片設(shè)計(jì)環(huán)境而設(shè)計(jì)的資源管理平臺(tái),按照資源的類型用不同的模塊進(jìn)行管理,,實(shí)現(xiàn)各種生態(tài)云上自住和管理各種設(shè)計(jì)資源:

  3.1資源規(guī)劃與實(shí)現(xiàn)——PaaS層

  設(shè)計(jì)云管理平臺(tái)的云資源管理(CMP)模塊將會(huì)對(duì)接下面的IaaS層的各種資源,,通過云管理接口來管理IaaS層的硬件資源。

  CMP提供了對(duì)IaaS層各種資源的自助運(yùn)維管理,、資源監(jiān)控和報(bào)警,、日志管理以及利用AI技術(shù)提供智能化運(yùn)維。通過CMP可以對(duì)平臺(tái)上所有用戶設(shè)計(jì)環(huán)境的基礎(chǔ)架構(gòu)進(jìn)行標(biāo)準(zhǔn)化,,降低環(huán)境管理的復(fù)雜度,;并將運(yùn)維中的重復(fù)工作通過腳本實(shí)現(xiàn)自助服務(wù),把管理員從大量的重復(fù)勞動(dòng)中解放出來,;通過智能化運(yùn)維能準(zhǔn)確預(yù)測(cè)設(shè)計(jì)環(huán)境可能會(huì)碰到的問題,并在問題發(fā)生前采取相應(yīng)的措施減少設(shè)計(jì)環(huán)境中斷情況的發(fā)生,。

  同時(shí),,CMP還針對(duì)芯片設(shè)計(jì)行業(yè)的特點(diǎn),提供計(jì)算集群管理功能,、設(shè)計(jì)作業(yè)調(diào)度功能以及彈性算力管理功能等,。

  Cyclecloud是Azure云提供的強(qiáng)大的創(chuàng)建、管理,、操作和優(yōu)化HPC和大型計(jì)算群集的服務(wù),,此服務(wù)可以和作業(yè)調(diào)度系統(tǒng)結(jié)合在Azure上實(shí)現(xiàn)彈性算力的功能。

  Azure CycleCloud旨在使企業(yè)IT組織能夠向其最終用戶提供安全靈活的云HPC計(jì)算環(huán)境,。通過群集的動(dòng)態(tài)擴(kuò)展,,企業(yè)可以以正確的時(shí)間和價(jià)格獲得所需的資源。

  Azure CycleCloud的自動(dòng)化配置使IT部門能夠?qū)W⒂谙驑I(yè)務(wù)用戶提供服務(wù)。Azure CycleCloud是很方便在企業(yè)級(jí)用于協(xié)調(diào)和管理Azure上的高性能計(jì)算(HPC)環(huán)境的工具,。借助CycleCloud,,用戶可以為HPC系統(tǒng)預(yù)配基礎(chǔ)結(jié)構(gòu),部署熟悉的HPC調(diào)度程序,,并自動(dòng)擴(kuò)展基礎(chǔ)結(jié)構(gòu)以在任何規(guī)模下高效地運(yùn)行作業(yè),。通過CycleCloud,用戶可以創(chuàng)建不同類型的文件系統(tǒng),,并將它們裝載到計(jì)算群集節(jié)點(diǎn),,以支持HPC工作負(fù)載。

  在芯片設(shè)計(jì)領(lǐng)域常用調(diào)度工具LSF與CycleCloud之間有著工程級(jí)的合作,,CycleCloud可以協(xié)助LSF更高效的調(diào)度Azure云上資源,。雖然今天利用LSF的Resource Connector,可以實(shí)現(xiàn)與不同公有云供應(yīng)商的對(duì)接,,然而使用CycleCloud依然有著許多的優(yōu)勢(shì),,首先是LSF與CycleCloud之間認(rèn)真定義必要功能的接口,所以云上的特性都由Cyclecloud來管理與控制,。今天的公有云每天都在發(fā)生著變化,,CycleCloud做為微軟原廠工具可以在第一時(shí)間支持這些新功能。其次在日常運(yùn)維過程中,,如果計(jì)算資源的調(diào)度出現(xiàn)了問題,,運(yùn)維人員只需要找到CycleCloud的原廠支持,來進(jìn)行問題的定位與判斷,,而且所有CycleCloud支持都是相關(guān)領(lǐng)域的專家,。同時(shí)微軟也有專有的與LSF工程團(tuán)隊(duì)的溝通機(jī)制。相較直接對(duì)接計(jì)算資源的方案,,當(dāng)問題發(fā)生時(shí),,云提供商往往第一時(shí)間反饋給的是云上虛擬機(jī)的部門,很多支持工程師對(duì)于EDA或是高性能計(jì)算的模式與特點(diǎn),,以及工具都是一無所知的,。

  計(jì)算任務(wù)上云的最大好處是可以利用云資源進(jìn)行動(dòng)態(tài)調(diào)度,運(yùn)維與研發(fā)團(tuán)隊(duì)可以根據(jù)項(xiàng)目的需要選擇最省錢的方案或是用時(shí)最短的方案,。同時(shí)由于云上資源以使用量計(jì)費(fèi),,當(dāng)面對(duì)龐大云計(jì)算資源管理時(shí),對(duì)不再工作的計(jì)算資源需要即時(shí)停止是很重要的,,對(duì)于管理運(yùn)維人員也是很大的挑戰(zhàn),。Cyclecloud正好幫助運(yùn)維團(tuán)隊(duì)填補(bǔ)了這部分的能力,可以助力動(dòng)態(tài)調(diào)度快速落地,。

  3.2資源管理規(guī)劃與實(shí)現(xiàn)——SaaS層

  設(shè)計(jì)云管理平臺(tái)的設(shè)計(jì)資源管理(DMP)模塊將會(huì)針對(duì)平臺(tái)2大類租戶:資源供給方和資源使用方分別對(duì)除了云提供的IaaS層資源之外的設(shè)計(jì)資源進(jìn)行管理和監(jiān)控,,例如:賬號(hào),,項(xiàng)目,IP,,PDK,,EDA工具、設(shè)計(jì)流程和設(shè)計(jì)環(huán)境等,。

  資源供給方

  在此平臺(tái)上,,資源供給方主要指:IP供應(yīng)商,晶圓廠,,EDA公司,,CAD技術(shù)服務(wù)公司。這些公司可以提供芯片設(shè)計(jì)環(huán)節(jié)中所需的IP,,PDK,,EDA工具,設(shè)計(jì)流程等,。DMP可以讓資源供給方將這些資源上傳到云上,,并通過一定的授權(quán)流程完成資源授權(quán)給到云上的資源使用方--設(shè)計(jì)公司,并使得資源供給方按照線上定價(jià)策略獲取收益,。統(tǒng)一的設(shè)計(jì)云資源管理平臺(tái)將這些資源供給方的資源極大化整合,,充分共享、自由交易,,加快促進(jìn)IP,、EDA的銷售過程和技術(shù)支持過程,從而加快上下游的通暢,。在云上,,所有租戶都各自成云,數(shù)據(jù)的傳輸可以借用云上的安全中技術(shù)以及加密和指紋技術(shù)保證上傳資源的安全,。

  資源使用方

  資源使用方主要指設(shè)計(jì)公司,,設(shè)計(jì)公司通過DMP可以快速和容易地獲取更多的設(shè)計(jì)資源,在芯片設(shè)計(jì)早期利用云上的所有資源進(jìn)行比較(例如:不同IP供應(yīng)商提供的相同功能的IP,,相同功能的不同EDA工具等),,選擇滿足產(chǎn)品設(shè)計(jì)要求的IP/PDK/EDA/設(shè)計(jì)流程的最優(yōu)組合,從而使得設(shè)計(jì)成本最優(yōu)并提高產(chǎn)品成功率,。設(shè)計(jì)公司的環(huán)境中一般還可以細(xì)分為2種角色---管理員和普通用戶:管理員將通過DMP提供的自助運(yùn)維功能對(duì)設(shè)計(jì)環(huán)境中的各種資源(賬號(hào)、項(xiàng)目,、IP,、PDK、EDA工具,、設(shè)計(jì)流程和設(shè)計(jì)環(huán)境)進(jìn)行申請(qǐng)和搭建,,并進(jìn)行日常運(yùn)維。DMP通過腳本自動(dòng)化的方式將傳統(tǒng)的ITCAD工作遷移到了云端,并實(shí)現(xiàn)了可視化和智能化,。普通用戶通過DMP提供的遠(yuǎn)程登陸臺(tái)直接接入云端設(shè)計(jì)環(huán)境,,云端設(shè)計(jì)環(huán)境的架構(gòu)遵循私有云的安全架構(gòu),對(duì)用戶來說是透明的遷移,,不會(huì)改變?nèi)魏卧O(shè)計(jì)使用習(xí)慣,。并且用戶可以通過DMP可視化地查詢環(huán)境中的資源使用情況、項(xiàng)目進(jìn)度以及管理自己的賬戶信息和數(shù)據(jù),,從而提升用戶的使用體驗(yàn),。

  掃碼可下載完整版

  《中國芯片設(shè)計(jì)云技術(shù)白皮書2.0》

  第四節(jié) 平臺(tái)安全方案

  根據(jù)Gartner云安全評(píng)估報(bào)告顯示(參見P25圖表),在安全能力評(píng)估中微軟得到了13個(gè)High,,拿下整體安全能力全球第一,。評(píng)估維度包括基礎(chǔ)設(shè)施安全,云治理和合規(guī),,網(wǎng)絡(luò)安全,,應(yīng)用和容器安全,數(shù)據(jù)安全,,日志和預(yù)警,,應(yīng)用和工作負(fù)載保護(hù)等7大模塊24項(xiàng)能力。無論國內(nèi)還是國外的設(shè)計(jì)公司,,在上云的過程中還十分關(guān)注安全問題,。從安全上講,由于設(shè)計(jì)云中進(jìn)行仿真的原代碼對(duì)設(shè)計(jì)公司都是機(jī)密而又重要知識(shí)產(chǎn)權(quán)的內(nèi)容,,如何進(jìn)行數(shù)據(jù)安全的保證以及使用者的權(quán)限管控就成為一個(gè)十分重要的問題,。

  4.1 云計(jì)算安全基礎(chǔ)

  設(shè)計(jì)環(huán)境遷入公有云不僅僅意味著基礎(chǔ)設(shè)施物理位置的變化,相較于傳統(tǒng)私有數(shù)據(jù)中心,,在管理上與運(yùn)維上也提出了極大的挑戰(zhàn)變化,。

  首先是對(duì)于安全職責(zé)將由云供應(yīng)商與客戶共同承擔(dān),如下圖所示,,云使用方的IT需要將更多精力放在應(yīng)用層之上的安全,,包括信息數(shù)據(jù)安全,身份管理以及應(yīng)用層面安全,,而云供應(yīng)商負(fù)責(zé)應(yīng)用層以下的基礎(chǔ)安全,。使用方應(yīng)當(dāng)多利用云供應(yīng)商應(yīng)提供的基于云的安全監(jiān)控工具與服務(wù),同時(shí)為了方便管理與維護(hù),,應(yīng)當(dāng)使用云供應(yīng)商或是自建的統(tǒng)一平臺(tái),,集中展示設(shè)計(jì)云平臺(tái)中的計(jì)算,存儲(chǔ)以及網(wǎng)絡(luò)各方面安全以及性能問題,,以及設(shè)計(jì)并實(shí)施相關(guān)的安全策略,。同時(shí)需要注意隨著地區(qū)與行業(yè)法規(guī)的日益完善,,合規(guī)性也成為平臺(tái)安全的重要一環(huán)。使用方需要可以利用云供應(yīng)商或是第三方工具對(duì)所使用平臺(tái)及系統(tǒng)進(jìn)行快速便捷的合規(guī)性評(píng)價(jià),,并對(duì)不合規(guī)可以提出改善性建議,。

  其次對(duì)于更為復(fù)雜云端環(huán)境,安全包括基礎(chǔ)設(shè)施安全,,合規(guī)性,,網(wǎng)絡(luò)安全,應(yīng)用安全,,數(shù)據(jù)安全,,身份管控與報(bào)警多個(gè)方面。2020年Gartner對(duì)各大共有公供應(yīng)商就這些方面進(jìn)行了安全評(píng)測(cè),,其中微軟Azure以13項(xiàng)高安全排名第一,,阿里云與AWS排名第二第三。同時(shí)對(duì)于IT運(yùn)維管理人員需要注意,,今天的安全不僅僅需要依靠各種安全規(guī)則進(jìn)行被動(dòng)安全管理,,更需要依賴大數(shù)據(jù)的后臺(tái)分析,進(jìn)行主動(dòng)防護(hù),。這對(duì)云供應(yīng)商的數(shù)據(jù)收集與分析能力提出了極大的挑戰(zhàn),。

  這方面30多年來微軟為全球用戶提供超過200多種商業(yè)服務(wù),積累了海量的數(shù)據(jù)和運(yùn)營盡量,。并從中獲取的獨(dú)特的安全見解,。例如每月有4000億份郵件,120億個(gè)設(shè)備受到WindowsDefender掃描保護(hù),,微軟后臺(tái)可以清楚的了解到客戶端受到的攻擊是哪里發(fā)起的,,是怎么擴(kuò)展的。微軟對(duì)安全的理解來自海量的數(shù)據(jù)和30多來的運(yùn)營經(jīng)驗(yàn),,利用這些經(jīng)驗(yàn),,微軟可以很容易的分析出正常用戶的登錄授權(quán)行為是怎么樣的,異常的行為又是如何的以及用戶密碼被盜取的頻率,,保護(hù)著7億5000萬Azure用戶的身份安全,。智能安全圖譜是在微軟非常特別的東西,我們覺得是這個(gè)行業(yè)獨(dú)一無二的,。通過智能安全圖譜我們把數(shù)萬億的信號(hào)整合起來,,這些信號(hào)就不僅僅是孤立信息點(diǎn),微軟全球7500多位安全專家可以從對(duì)多個(gè)信號(hào)的分析整理,,描述出攻擊者的行為模式,,保護(hù)沒有受到攻擊的節(jié)點(diǎn)。

  最后我們要注意安全問題不僅僅來源于外部網(wǎng)絡(luò)的攻擊,,也會(huì)借助相關(guān)人員的賬號(hào)與設(shè)備進(jìn)行攻擊,。在攻擊云基礎(chǔ)架構(gòu)時(shí),黑客通常會(huì)攻擊多個(gè)資源,,以嘗試訪問客戶數(shù)據(jù)或公司機(jī)密,。云殺鏈模型解釋了攻擊者如何試圖通過四個(gè)步驟(發(fā)掘漏洞、訪問,、橫向移動(dòng)和操作)訪問在公共云中運(yùn)行的任何資源,。

  發(fā)掘漏洞是指攻擊者尋找訪問基礎(chǔ)架構(gòu)的機(jī)會(huì)地方。例如,,攻擊者知道面向客戶的應(yīng)用程序必須開放,,合法用戶才能訪問它們。這些應(yīng)用程序暴露在Internet上,,因此容易受到攻擊,。攻擊者將嘗試攻擊漏洞或利用公開應(yīng)用程序中的弱憑據(jù)。在漏洞或基于惡意軟件的攻擊中,,也存在危害用戶憑據(jù)的暴露,。

  攻擊者將嘗試?yán)寐┒磥碓L問公共云基礎(chǔ)架構(gòu)后,這可以通過有風(fēng)險(xiǎn)的用戶憑據(jù),、實(shí)例或配置錯(cuò)誤的資源完成,。通過危害實(shí)例,攻擊者可以通過利用漏洞(例如在面向公眾的Web應(yīng)用程序上)或利用弱憑據(jù)(如暴力強(qiáng)制面向公開的SSH服務(wù)器)來訪問實(shí)例,。如果沒有安全控制,,68%的違規(guī)需要數(shù)月或更長時(shí)間才能發(fā)現(xiàn)。

  數(shù)據(jù)來源:Gartner

  在橫向移動(dòng)階段,,攻擊者會(huì)發(fā)現(xiàn)他們有權(quán)訪問哪些資源以及該訪問的范圍,。對(duì)實(shí)例的成功攻擊使攻擊者能夠訪問數(shù)據(jù)庫和其他敏感信息。然后,,攻擊者會(huì)搜索其他憑據(jù),。如果沒有安全工具來快速通知您攻擊,組織平均需要 101 天才能發(fā)現(xiàn)漏洞,。同時(shí),,在突破后 24-48 小時(shí)內(nèi),攻擊者通常會(huì)完全控制網(wǎng)絡(luò),。

  攻擊者在橫向移動(dòng)后采取的行動(dòng)在很大程度上取決于他們?cè)跈M向移動(dòng)階段能夠訪問的資源,。攻擊者可以采取導(dǎo)致數(shù)據(jù)泄露、數(shù)據(jù)丟失或發(fā)動(dòng)其他攻擊的操作,。對(duì)于企業(yè)來說,,數(shù)據(jù)丟失的平均財(cái)務(wù)影響現(xiàn)在達(dá)到123萬美元。

  基于此如何構(gòu)建一個(gè)從設(shè)備到云的端到端的零信任安全體系,,成為越來越多安全專家們的共識(shí),。下圖展示了基于微軟技術(shù)體系的,,混合云的模式下的安全參考結(jié)構(gòu)。其中設(shè)備側(cè)通過SCCM對(duì)不同設(shè)備進(jìn)行安全策略的設(shè)置,,單個(gè)設(shè)備可以基于MicrosoftATP進(jìn)行主動(dòng)保護(hù),。設(shè)備到云的網(wǎng)絡(luò)層面對(duì)鏈路以及接入點(diǎn)進(jìn)行保護(hù)。云端產(chǎn)品與服務(wù)從開發(fā)階段就嚴(yán)格遵守安全開發(fā)生命周期模式,,提供完整的身份管控,,數(shù)據(jù)加密,行為監(jiān)控等一系列安全措施,。安全運(yùn)營中心提供了一個(gè)云原生的安全統(tǒng)一管理平臺(tái),,運(yùn)維人員可以從統(tǒng)一入口監(jiān)控管理云端服務(wù),并針對(duì)安全與合規(guī)性問題對(duì)云資源進(jìn)行安全升級(jí)與管控,。

  4.2 數(shù)據(jù)傳輸和指紋技術(shù)

  數(shù)據(jù)傳輸管理

  管理員可以通過 DMP 的數(shù)據(jù)傳輸管理功能對(duì)設(shè)計(jì)數(shù)據(jù)傳輸進(jìn)行自助管理:實(shí)現(xiàn)創(chuàng)建 / 更改 / 刪除數(shù)據(jù)傳輸通道,,自助配置數(shù)據(jù)傳輸通道的安全策略。支持人工審核的數(shù)據(jù)傳輸方式,,提供人工審核流程并在數(shù)據(jù)傳輸申請(qǐng)批準(zhǔn)后自助進(jìn)行數(shù)據(jù)傳輸,。對(duì)所有數(shù)據(jù)傳輸操作進(jìn)行監(jiān)控和日志記錄,滿足安全審計(jì)的需求,。

  普通用戶可以通過DMP的數(shù)據(jù)傳輸管理功能傳輸通道信息進(jìn)行查詢,,并能通過人工審核提交數(shù)據(jù)傳輸申請(qǐng)。

  指紋技術(shù)

  指紋技術(shù)是對(duì)預(yù)先定義的非結(jié)構(gòu)化數(shù)據(jù)文件或者結(jié)構(gòu)化數(shù)據(jù)庫進(jìn)行掃描,,在對(duì)掃描內(nèi)容進(jìn)行指定指紋算法計(jì)算,,生成指紋存放在指紋庫中。當(dāng)系統(tǒng)中有數(shù)據(jù)傳輸時(shí),,會(huì)將傳輸數(shù)據(jù)按照同樣的方式處理生成指紋,,并與指紋庫中指紋進(jìn)行對(duì)比得到指紋相似度。

  指紋生成

  指紋生成是對(duì)預(yù)處理過的文本按照選定的文本細(xì)粒度,,使用相應(yīng)的文件指紋算法計(jì)算文件指紋,。文件指紋算法是指紋系統(tǒng)中至關(guān)重要的一個(gè)環(huán)節(jié),,其性能的優(yōu)劣直接影響指紋系統(tǒng)的好壞。目前常用的文件指紋算法有MD5,、SHA-1,、Rabinhash、Simhash、Minhash等,。不同的算法有不同的用處,,可以根據(jù)實(shí)際需要選擇不同的算法,。

  指紋選取

  合適的或優(yōu)秀的指紋選取策略可以在獲得的指紋數(shù)量相對(duì)較少的情況下,,取得更準(zhǔn)確的檢測(cè)結(jié)果,。指紋選取是文件指紋系統(tǒng)中另一個(gè)至關(guān)重要的環(huán)節(jié),如果指紋選取的不當(dāng),,會(huì)導(dǎo)致選取的指紋不能充分代表文件本身,最終直接導(dǎo)致文檔相似度檢測(cè)時(shí)出現(xiàn)很大偏差,,影響文件相似度的計(jì)算結(jié)果。常用的指紋選取策略主要包括全指紋選取,、半指紋選取,、哈希斷點(diǎn)法和最小哈希值法等,。

  指紋驗(yàn)證

  指紋驗(yàn)證,,即指紋相似度計(jì)算是文件指紋匹配系統(tǒng)的最后一步,。相似度計(jì)算主要對(duì)待檢驗(yàn)文件指紋和文件指紋庫中的文件指紋進(jìn)行比對(duì),,并計(jì)算文件指紋值之間的匹配程度(文件相似度),。計(jì)算相似度的時(shí)候,不但要返回文件指紋與文件指紋庫對(duì)比的相似度值,,還要返回最相似的文件和最相似文件的相似度,以方便用戶對(duì)文件匹配結(jié)果進(jìn)行檢查,。

  第四章  基于Azure的MVP

  為了實(shí)現(xiàn)上述的“大三層平臺(tái)規(guī)劃”,,摩爾精英這次結(jié)合 Azure 云的基礎(chǔ)架構(gòu),,開發(fā)了一個(gè)最小化可視產(chǎn)品 MVP,,驗(yàn)證了設(shè)計(jì)云平臺(tái)的技術(shù)可行性和基本功能。為此我們錄制了一段MVP的視頻供讀者參考,。

  掃碼可下載完整版

  《中國芯片設(shè)計(jì)云技術(shù)白皮書2.0》

  結(jié)語

  一切都剛剛開始,,一切都即將結(jié)束,。自集成電路在1958年以來,,芯片產(chǎn)業(yè)獲得了指數(shù)級(jí)的增長,。終端也從早期的大型機(jī)到PC,、轉(zhuǎn)移到移動(dòng)設(shè)備,,再到現(xiàn)在的萬物互聯(lián)時(shí)代,。人類的日常工作和生活也隨著這些技術(shù)的變遷而發(fā)生了翻天覆地的變化,。而在芯片變革終端的同時(shí),終端也在回饋半導(dǎo)體產(chǎn)業(yè),。無論是EDA等工具的發(fā)展,還是各種自動(dòng)化設(shè)備的升級(jí),,無一不在推動(dòng)著芯片產(chǎn)業(yè)往更強(qiáng)大的方向發(fā)展,,以滿足未來多樣化的需求。現(xiàn)在,,在芯片支撐下的云計(jì)算產(chǎn)業(yè)已經(jīng)成為了當(dāng)代數(shù)字社會(huì)的重要支撐,。對(duì)于芯片產(chǎn)業(yè)而言,也開啟了跑步融入云計(jì)算,提升設(shè)計(jì)和生產(chǎn)效率的時(shí)候,。讓我們一起攜手共同迎接新時(shí)代的到來。

  


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected]