作為行業(yè)內(nèi)專業(yè)的IT/CAD技術(shù)服務(wù)團(tuán)隊(duì),,摩爾精英IT/CAD事業(yè)部曾于2019年11月21日的南京ICCAD大會上發(fā)表的《芯片設(shè)計(jì)云計(jì)算白皮書1.0》中,初步探索了基于公有云的EDA計(jì)算平臺的實(shí)現(xiàn)方案,。隨著進(jìn)一步的探索和方案優(yōu)化,,我們今天將發(fā)布《芯片設(shè)計(jì)云技術(shù)白皮書2.0》,進(jìn)一步升級迭代EDA云計(jì)算的實(shí)現(xiàn)方案,。在這一稿白皮書中,,將基于Azure云平臺,呈現(xiàn)包括彈性算力,、安全方案,、EDA設(shè)計(jì)生態(tài)云模型等,。
以下內(nèi)容摘取《中國芯片設(shè)計(jì)云技術(shù)白皮書2.0》部分內(nèi)容:
第二章 設(shè)計(jì)云平臺中國市場規(guī)劃
第二節(jié) 芯片設(shè)計(jì)云生態(tài)規(guī)劃
對比于國外半導(dǎo)體發(fā)展軌跡來看,國外的半導(dǎo)體行業(yè)經(jīng)過30多年發(fā)展,,成就了一個個大公司,,國外大公司的云計(jì)算之路的驅(qū)動力更多在于混合算力的需要,前面的案例中都顯示了這一點(diǎn),。而國內(nèi)的云計(jì)算之路的驅(qū)動力則更偏重于資源共享的需要,。中國國內(nèi)的芯片設(shè)計(jì)企業(yè)眾多,規(guī)模小,、階段早,,以云計(jì)算技術(shù)為基礎(chǔ),將IP資源和技術(shù)支持,、PDK資源和技術(shù)支持,、EDA資源和技術(shù)支持、IT基礎(chǔ)架構(gòu)資源和技術(shù)支持,、CAD技術(shù)支持資源整合,、標(biāo)準(zhǔn)化,打造生態(tài)型的設(shè)計(jì)云平臺,,極大地實(shí)現(xiàn)資源共享,、技術(shù)共享、平臺共享,,加速中國半導(dǎo)體事業(yè)發(fā)展,。
中國現(xiàn)在的半導(dǎo)體行業(yè)得天獨(dú)厚,國內(nèi)的半導(dǎo)體發(fā)展正處于一個“百舸爭流千帆競”的歷史發(fā)展特定時期,,充滿機(jī)遇與挑戰(zhàn)。當(dāng)前芯片行業(yè)的特點(diǎn),,正由封閉模式轉(zhuǎn)向半開放模式,,市場投入以及政策支持,正加速中國當(dāng)前出現(xiàn)越來越多的創(chuàng)業(yè)芯片公司,,這些初創(chuàng)芯片公司都關(guān)注的是特定領(lǐng)域的芯片研發(fā),。在這樣的大環(huán)境下,集大成的生態(tài)型設(shè)計(jì)云平臺呼之欲出,,以云平臺的方式提供一個相對平等的環(huán)境,,支持協(xié)作和共享,可以更靈活地幫助大量芯片公司共同發(fā)展,。
根據(jù)對半導(dǎo)體行業(yè)的深入研究和調(diào)查,,摩爾精英IT/CAD事業(yè)部對即將到來的國內(nèi)半導(dǎo)體行業(yè)戰(zhàn)略發(fā)展面臨的云計(jì)算平臺作出了戰(zhàn)略規(guī)劃,“擁抱云計(jì)算,,打造適合中國國情的芯片設(shè)計(jì)云生態(tài)模型”,。
設(shè)計(jì)生態(tài)云模型
2.1 統(tǒng)一云平臺,,集成五要素
以云計(jì)算為IT基礎(chǔ)底層,整合行業(yè)核心資源,,打造統(tǒng)一的芯片設(shè)計(jì)云平臺,,集成包括:IT基礎(chǔ)架構(gòu)層與技術(shù)服務(wù)、CAD管理與技術(shù)服務(wù),、EDA資源池與技術(shù)服務(wù),、IP資源池與技術(shù)服務(wù)、PDK資源池與技術(shù)服務(wù)等五大技術(shù)支持平臺的整合型設(shè)計(jì)生態(tài)云平臺,。
設(shè)計(jì),、EDA、IP,、PDK在云計(jì)算平臺上可以各自成云,,彼此安全隔離,數(shù)據(jù)共享可追溯,,上傳下載加密,,形成安全高效的生態(tài)設(shè)計(jì)環(huán)境。
2.2 各自上云,,永不落地
核心資源包括IP,、PDK等,可以在云平臺上,,擁有各自供應(yīng)商的私有云空間,,數(shù)據(jù)對設(shè)計(jì)公司的開放與否,一方面依賴于傳統(tǒng)合作協(xié)議與商務(wù)條約,,另一方面依賴于云平臺技術(shù)安全管控手段,。不同角色的用戶,例如IP供應(yīng)商,、晶圓廠,、EDA公司,對各自的數(shù)據(jù)擁有完全的管理權(quán)限,。重要數(shù)據(jù)在不同隔離區(qū)間進(jìn)行傳遞,,通過數(shù)據(jù)加密或指紋追蹤技術(shù),進(jìn)行有效的安全監(jiān)管,,對核心數(shù)據(jù)資源的管控做到各自成云,,永不落地。
2.3 云計(jì)算三層架構(gòu)
基于云計(jì)算的IT架構(gòu)包括IaaS層,、PaaS層,、SaaS層,分別管理物理層資源,、物理資源敏捷運(yùn)維,、應(yīng)用層資源以及應(yīng)用層資源自助管理,。
在設(shè)計(jì)生態(tài)云平臺上,安全高效地整合了芯片設(shè)計(jì)開發(fā)所需的全部技術(shù)支撐,,可以做到對眾多芯片設(shè)計(jì)企業(yè)的平臺化支持,,幫助他們可以短時間內(nèi)擁有更快更標(biāo)準(zhǔn)統(tǒng)一化的研發(fā)平臺,從而幫助他們更為容易地加快芯片開發(fā)與迭代速度,,為產(chǎn)品上市贏取時間,。通過設(shè)計(jì)生態(tài)云統(tǒng)一化的平臺,更多的IP,、PDK和EDA資源可以快速匯集,、并提供統(tǒng)一的技術(shù)支持窗口,這也能對國內(nèi)EDA工具及IP的發(fā)展起到非常好的促進(jìn)作用,。
掃碼可下載完整版
《中國芯片設(shè)計(jì)云技術(shù)白皮書2.0》
第三章 設(shè)計(jì)生態(tài)云技術(shù)架構(gòu)詳解
在前一章節(jié)中闡述的5個技術(shù)角色以及芯片設(shè)計(jì)公司,,將在設(shè)計(jì)生態(tài)云上構(gòu)成一個多租戶的生態(tài)系統(tǒng)。相較于上一版白皮書的探討,,這次探討的設(shè)計(jì)生態(tài)云從技術(shù)上呈現(xiàn)的主要特征為:
第一節(jié) 系統(tǒng)拓?fù)湓O(shè)計(jì)
一個多租戶的云計(jì)算平臺,,需要以下六類角色的參與:
下圖是一個完整包括這六類角色的系統(tǒng)拓?fù)鋱D。
第二節(jié) 云計(jì)算基礎(chǔ)架構(gòu)層
云計(jì)算是在傳統(tǒng)物理數(shù)據(jù)中心的基礎(chǔ)上,,通過虛擬化技術(shù)實(shí)現(xiàn)物理資源的多租戶共享,,從而提高資源的利用率。云計(jì)算基礎(chǔ)設(shè)備服務(wù)即包括了計(jì)算,,存儲,,網(wǎng)絡(luò)三部分的服務(wù)。用戶可以通過管理平臺快速自助的獲得所需要的計(jì)算能力,?;A(chǔ)設(shè)施服務(wù)(IaaS)是芯片設(shè)計(jì)云的基礎(chǔ),解決了各設(shè)計(jì)公司的計(jì)算資源峰值缺口問題,。
從本地進(jìn)入到云端,,隨著環(huán)境的變化,對使用者,,維護(hù)者以及云供應(yīng)商都提出來全新的要求與課題。從混合云上講,,大部分大型設(shè)計(jì)公司,,都有原有的自建機(jī)房,這部分計(jì)算資源在一定時期內(nèi)還承擔(dān)著主要的計(jì)算任務(wù),,云上資源在開始兩三年還是以算力補(bǔ)充為主,。如何管理好云上資源,做好與本地計(jì)算資源的協(xié)同,,如何結(jié)合云供應(yīng)商的產(chǎn)品能力以及企業(yè)自身的要求,,對IT管理人員提出了新的要求,。同時值得注意的是平臺服務(wù)部分,從短期來看,,對芯片設(shè)計(jì)云沒有直接的使用價值,,但是從長期看,利用平臺服務(wù)(PaaS)可以快速實(shí)現(xiàn)基于數(shù)據(jù)的先進(jìn)應(yīng)用,,如基于歷史數(shù)據(jù)的設(shè)計(jì)優(yōu)化建議,,更完整的安全閉環(huán)管理等。
第三節(jié) 設(shè)計(jì)云管理平臺
對于設(shè)計(jì)公司使用的設(shè)計(jì)環(huán)境可以理解為各種設(shè)計(jì)資源的有效結(jié)合,,例如:硬件資源(服務(wù)器,,存儲,網(wǎng)絡(luò)),,軟件資源(EDA工具,,版本管理工具),其他資源(IP,,PDK)等,。隨著設(shè)計(jì)工藝的發(fā)展,設(shè)計(jì)環(huán)境變得更加復(fù)雜,。如何快速搭建和高效管理設(shè)計(jì)環(huán)境成為了現(xiàn)在CAD服務(wù)最挑戰(zhàn)的課題,。
設(shè)計(jì)云管理平臺(DCMP,Design Cloud Management Platform)就是針對芯片設(shè)計(jì)環(huán)境而設(shè)計(jì)的資源管理平臺,,按照資源的類型用不同的模塊進(jìn)行管理,,實(shí)現(xiàn)各種生態(tài)云上自住和管理各種設(shè)計(jì)資源:
3.1資源規(guī)劃與實(shí)現(xiàn)——PaaS層
設(shè)計(jì)云管理平臺的云資源管理(CMP)模塊將會對接下面的IaaS層的各種資源,通過云管理接口來管理IaaS層的硬件資源,。
CMP提供了對IaaS層各種資源的自助運(yùn)維管理,、資源監(jiān)控和報(bào)警、日志管理以及利用AI技術(shù)提供智能化運(yùn)維,。通過CMP可以對平臺上所有用戶設(shè)計(jì)環(huán)境的基礎(chǔ)架構(gòu)進(jìn)行標(biāo)準(zhǔn)化,,降低環(huán)境管理的復(fù)雜度;并將運(yùn)維中的重復(fù)工作通過腳本實(shí)現(xiàn)自助服務(wù),,把管理員從大量的重復(fù)勞動中解放出來,;通過智能化運(yùn)維能準(zhǔn)確預(yù)測設(shè)計(jì)環(huán)境可能會碰到的問題,并在問題發(fā)生前采取相應(yīng)的措施減少設(shè)計(jì)環(huán)境中斷情況的發(fā)生,。
同時,,CMP還針對芯片設(shè)計(jì)行業(yè)的特點(diǎn),提供計(jì)算集群管理功能,、設(shè)計(jì)作業(yè)調(diào)度功能以及彈性算力管理功能等,。
Cyclecloud是Azure云提供的強(qiáng)大的創(chuàng)建、管理,、操作和優(yōu)化HPC和大型計(jì)算群集的服務(wù),,此服務(wù)可以和作業(yè)調(diào)度系統(tǒng)結(jié)合在Azure上實(shí)現(xiàn)彈性算力的功能,。
Azure CycleCloud旨在使企業(yè)IT組織能夠向其最終用戶提供安全靈活的云HPC計(jì)算環(huán)境。通過群集的動態(tài)擴(kuò)展,,企業(yè)可以以正確的時間和價格獲得所需的資源,。
Azure CycleCloud的自動化配置使IT部門能夠?qū)W⒂谙驑I(yè)務(wù)用戶提供服務(wù)。Azure CycleCloud是很方便在企業(yè)級用于協(xié)調(diào)和管理Azure上的高性能計(jì)算(HPC)環(huán)境的工具,。借助CycleCloud,,用戶可以為HPC系統(tǒng)預(yù)配基礎(chǔ)結(jié)構(gòu),部署熟悉的HPC調(diào)度程序,,并自動擴(kuò)展基礎(chǔ)結(jié)構(gòu)以在任何規(guī)模下高效地運(yùn)行作業(yè),。通過CycleCloud,用戶可以創(chuàng)建不同類型的文件系統(tǒng),,并將它們裝載到計(jì)算群集節(jié)點(diǎn),,以支持HPC工作負(fù)載。
在芯片設(shè)計(jì)領(lǐng)域常用調(diào)度工具LSF與CycleCloud之間有著工程級的合作,,CycleCloud可以協(xié)助LSF更高效的調(diào)度Azure云上資源,。雖然今天利用LSF的Resource Connector,可以實(shí)現(xiàn)與不同公有云供應(yīng)商的對接,,然而使用CycleCloud依然有著許多的優(yōu)勢,,首先是LSF與CycleCloud之間認(rèn)真定義必要功能的接口,所以云上的特性都由Cyclecloud來管理與控制,。今天的公有云每天都在發(fā)生著變化,,CycleCloud做為微軟原廠工具可以在第一時間支持這些新功能。其次在日常運(yùn)維過程中,,如果計(jì)算資源的調(diào)度出現(xiàn)了問題,,運(yùn)維人員只需要找到CycleCloud的原廠支持,來進(jìn)行問題的定位與判斷,,而且所有CycleCloud支持都是相關(guān)領(lǐng)域的專家,。同時微軟也有專有的與LSF工程團(tuán)隊(duì)的溝通機(jī)制。相較直接對接計(jì)算資源的方案,,當(dāng)問題發(fā)生時,,云提供商往往第一時間反饋給的是云上虛擬機(jī)的部門,很多支持工程師對于EDA或是高性能計(jì)算的模式與特點(diǎn),,以及工具都是一無所知的,。
計(jì)算任務(wù)上云的最大好處是可以利用云資源進(jìn)行動態(tài)調(diào)度,運(yùn)維與研發(fā)團(tuán)隊(duì)可以根據(jù)項(xiàng)目的需要選擇最省錢的方案或是用時最短的方案,。同時由于云上資源以使用量計(jì)費(fèi),當(dāng)面對龐大云計(jì)算資源管理時,,對不再工作的計(jì)算資源需要即時停止是很重要的,,對于管理運(yùn)維人員也是很大的挑戰(zhàn),。Cyclecloud正好幫助運(yùn)維團(tuán)隊(duì)填補(bǔ)了這部分的能力,可以助力動態(tài)調(diào)度快速落地,。
3.2資源管理規(guī)劃與實(shí)現(xiàn)——SaaS層
設(shè)計(jì)云管理平臺的設(shè)計(jì)資源管理(DMP)模塊將會針對平臺2大類租戶:資源供給方和資源使用方分別對除了云提供的IaaS層資源之外的設(shè)計(jì)資源進(jìn)行管理和監(jiān)控,,例如:賬號,項(xiàng)目,,IP,,PDK,EDA工具,、設(shè)計(jì)流程和設(shè)計(jì)環(huán)境等,。
資源供給方
在此平臺上,資源供給方主要指:IP供應(yīng)商,,晶圓廠,,EDA公司,CAD技術(shù)服務(wù)公司,。這些公司可以提供芯片設(shè)計(jì)環(huán)節(jié)中所需的IP,,PDK,EDA工具,,設(shè)計(jì)流程等,。DMP可以讓資源供給方將這些資源上傳到云上,并通過一定的授權(quán)流程完成資源授權(quán)給到云上的資源使用方--設(shè)計(jì)公司,,并使得資源供給方按照線上定價策略獲取收益,。統(tǒng)一的設(shè)計(jì)云資源管理平臺將這些資源供給方的資源極大化整合,充分共享,、自由交易,,加快促進(jìn)IP、EDA的銷售過程和技術(shù)支持過程,,從而加快上下游的通暢,。在云上,所有租戶都各自成云,,數(shù)據(jù)的傳輸可以借用云上的安全中技術(shù)以及加密和指紋技術(shù)保證上傳資源的安全,。
資源使用方
資源使用方主要指設(shè)計(jì)公司,設(shè)計(jì)公司通過DMP可以快速和容易地獲取更多的設(shè)計(jì)資源,,在芯片設(shè)計(jì)早期利用云上的所有資源進(jìn)行比較(例如:不同IP供應(yīng)商提供的相同功能的IP,,相同功能的不同EDA工具等),選擇滿足產(chǎn)品設(shè)計(jì)要求的IP/PDK/EDA/設(shè)計(jì)流程的最優(yōu)組合,,從而使得設(shè)計(jì)成本最優(yōu)并提高產(chǎn)品成功率,。設(shè)計(jì)公司的環(huán)境中一般還可以細(xì)分為2種角色---管理員和普通用戶:管理員將通過DMP提供的自助運(yùn)維功能對設(shè)計(jì)環(huán)境中的各種資源(賬號、項(xiàng)目、IP,、PDK,、EDA工具、設(shè)計(jì)流程和設(shè)計(jì)環(huán)境)進(jìn)行申請和搭建,,并進(jìn)行日常運(yùn)維,。DMP通過腳本自動化的方式將傳統(tǒng)的ITCAD工作遷移到了云端,并實(shí)現(xiàn)了可視化和智能化,。普通用戶通過DMP提供的遠(yuǎn)程登陸臺直接接入云端設(shè)計(jì)環(huán)境,,云端設(shè)計(jì)環(huán)境的架構(gòu)遵循私有云的安全架構(gòu),對用戶來說是透明的遷移,,不會改變?nèi)魏卧O(shè)計(jì)使用習(xí)慣,。并且用戶可以通過DMP可視化地查詢環(huán)境中的資源使用情況、項(xiàng)目進(jìn)度以及管理自己的賬戶信息和數(shù)據(jù),,從而提升用戶的使用體驗(yàn),。
掃碼可下載完整版
《中國芯片設(shè)計(jì)云技術(shù)白皮書2.0》
第四節(jié) 平臺安全方案
根據(jù)Gartner云安全評估報(bào)告顯示(參見P25圖表),在安全能力評估中微軟得到了13個High,,拿下整體安全能力全球第一,。評估維度包括基礎(chǔ)設(shè)施安全,云治理和合規(guī),,網(wǎng)絡(luò)安全,,應(yīng)用和容器安全,數(shù)據(jù)安全,,日志和預(yù)警,,應(yīng)用和工作負(fù)載保護(hù)等7大模塊24項(xiàng)能力。無論國內(nèi)還是國外的設(shè)計(jì)公司,,在上云的過程中還十分關(guān)注安全問題,。從安全上講,由于設(shè)計(jì)云中進(jìn)行仿真的原代碼對設(shè)計(jì)公司都是機(jī)密而又重要知識產(chǎn)權(quán)的內(nèi)容,,如何進(jìn)行數(shù)據(jù)安全的保證以及使用者的權(quán)限管控就成為一個十分重要的問題,。
4.1 云計(jì)算安全基礎(chǔ)
設(shè)計(jì)環(huán)境遷入公有云不僅僅意味著基礎(chǔ)設(shè)施物理位置的變化,相較于傳統(tǒng)私有數(shù)據(jù)中心,,在管理上與運(yùn)維上也提出了極大的挑戰(zhàn)變化,。
首先是對于安全職責(zé)將由云供應(yīng)商與客戶共同承擔(dān),如下圖所示,,云使用方的IT需要將更多精力放在應(yīng)用層之上的安全,,包括信息數(shù)據(jù)安全,身份管理以及應(yīng)用層面安全,,而云供應(yīng)商負(fù)責(zé)應(yīng)用層以下的基礎(chǔ)安全,。使用方應(yīng)當(dāng)多利用云供應(yīng)商應(yīng)提供的基于云的安全監(jiān)控工具與服務(wù),,同時為了方便管理與維護(hù),應(yīng)當(dāng)使用云供應(yīng)商或是自建的統(tǒng)一平臺,,集中展示設(shè)計(jì)云平臺中的計(jì)算,,存儲以及網(wǎng)絡(luò)各方面安全以及性能問題,以及設(shè)計(jì)并實(shí)施相關(guān)的安全策略,。同時需要注意隨著地區(qū)與行業(yè)法規(guī)的日益完善,合規(guī)性也成為平臺安全的重要一環(huán),。使用方需要可以利用云供應(yīng)商或是第三方工具對所使用平臺及系統(tǒng)進(jìn)行快速便捷的合規(guī)性評價,,并對不合規(guī)可以提出改善性建議。
其次對于更為復(fù)雜云端環(huán)境,,安全包括基礎(chǔ)設(shè)施安全,,合規(guī)性,網(wǎng)絡(luò)安全,,應(yīng)用安全,,數(shù)據(jù)安全,身份管控與報(bào)警多個方面,。2020年Gartner對各大共有公供應(yīng)商就這些方面進(jìn)行了安全評測,,其中微軟Azure以13項(xiàng)高安全排名第一,阿里云與AWS排名第二第三,。同時對于IT運(yùn)維管理人員需要注意,,今天的安全不僅僅需要依靠各種安全規(guī)則進(jìn)行被動安全管理,更需要依賴大數(shù)據(jù)的后臺分析,,進(jìn)行主動防護(hù),。這對云供應(yīng)商的數(shù)據(jù)收集與分析能力提出了極大的挑戰(zhàn)。
這方面30多年來微軟為全球用戶提供超過200多種商業(yè)服務(wù),,積累了海量的數(shù)據(jù)和運(yùn)營盡量,。并從中獲取的獨(dú)特的安全見解。例如每月有4000億份郵件,,120億個設(shè)備受到WindowsDefender掃描保護(hù),,微軟后臺可以清楚的了解到客戶端受到的攻擊是哪里發(fā)起的,是怎么擴(kuò)展的,。微軟對安全的理解來自海量的數(shù)據(jù)和30多來的運(yùn)營經(jīng)驗(yàn),,利用這些經(jīng)驗(yàn),微軟可以很容易的分析出正常用戶的登錄授權(quán)行為是怎么樣的,,異常的行為又是如何的以及用戶密碼被盜取的頻率,,保護(hù)著7億5000萬Azure用戶的身份安全。智能安全圖譜是在微軟非常特別的東西,,我們覺得是這個行業(yè)獨(dú)一無二的,。通過智能安全圖譜我們把數(shù)萬億的信號整合起來,,這些信號就不僅僅是孤立信息點(diǎn),微軟全球7500多位安全專家可以從對多個信號的分析整理,,描述出攻擊者的行為模式,,保護(hù)沒有受到攻擊的節(jié)點(diǎn)。
最后我們要注意安全問題不僅僅來源于外部網(wǎng)絡(luò)的攻擊,,也會借助相關(guān)人員的賬號與設(shè)備進(jìn)行攻擊,。在攻擊云基礎(chǔ)架構(gòu)時,黑客通常會攻擊多個資源,,以嘗試訪問客戶數(shù)據(jù)或公司機(jī)密,。云殺鏈模型解釋了攻擊者如何試圖通過四個步驟(發(fā)掘漏洞、訪問,、橫向移動和操作)訪問在公共云中運(yùn)行的任何資源,。
發(fā)掘漏洞是指攻擊者尋找訪問基礎(chǔ)架構(gòu)的機(jī)會地方。例如,,攻擊者知道面向客戶的應(yīng)用程序必須開放,,合法用戶才能訪問它們。這些應(yīng)用程序暴露在Internet上,,因此容易受到攻擊,。攻擊者將嘗試攻擊漏洞或利用公開應(yīng)用程序中的弱憑據(jù)。在漏洞或基于惡意軟件的攻擊中,,也存在危害用戶憑據(jù)的暴露,。
攻擊者將嘗試?yán)寐┒磥碓L問公共云基礎(chǔ)架構(gòu)后,這可以通過有風(fēng)險的用戶憑據(jù),、實(shí)例或配置錯誤的資源完成,。通過危害實(shí)例,攻擊者可以通過利用漏洞(例如在面向公眾的Web應(yīng)用程序上)或利用弱憑據(jù)(如暴力強(qiáng)制面向公開的SSH服務(wù)器)來訪問實(shí)例,。如果沒有安全控制,,68%的違規(guī)需要數(shù)月或更長時間才能發(fā)現(xiàn)。
數(shù)據(jù)來源:Gartner
在橫向移動階段,,攻擊者會發(fā)現(xiàn)他們有權(quán)訪問哪些資源以及該訪問的范圍,。對實(shí)例的成功攻擊使攻擊者能夠訪問數(shù)據(jù)庫和其他敏感信息。然后,,攻擊者會搜索其他憑據(jù),。如果沒有安全工具來快速通知您攻擊,組織平均需要 101 天才能發(fā)現(xiàn)漏洞,。同時,,在突破后 24-48 小時內(nèi),攻擊者通常會完全控制網(wǎng)絡(luò),。
攻擊者在橫向移動后采取的行動在很大程度上取決于他們在橫向移動階段能夠訪問的資源,。攻擊者可以采取導(dǎo)致數(shù)據(jù)泄露,、數(shù)據(jù)丟失或發(fā)動其他攻擊的操作。對于企業(yè)來說,,數(shù)據(jù)丟失的平均財(cái)務(wù)影響現(xiàn)在達(dá)到123萬美元,。
基于此如何構(gòu)建一個從設(shè)備到云的端到端的零信任安全體系,成為越來越多安全專家們的共識,。下圖展示了基于微軟技術(shù)體系的,,混合云的模式下的安全參考結(jié)構(gòu)。其中設(shè)備側(cè)通過SCCM對不同設(shè)備進(jìn)行安全策略的設(shè)置,,單個設(shè)備可以基于MicrosoftATP進(jìn)行主動保護(hù),。設(shè)備到云的網(wǎng)絡(luò)層面對鏈路以及接入點(diǎn)進(jìn)行保護(hù)。云端產(chǎn)品與服務(wù)從開發(fā)階段就嚴(yán)格遵守安全開發(fā)生命周期模式,,提供完整的身份管控,數(shù)據(jù)加密,,行為監(jiān)控等一系列安全措施,。安全運(yùn)營中心提供了一個云原生的安全統(tǒng)一管理平臺,運(yùn)維人員可以從統(tǒng)一入口監(jiān)控管理云端服務(wù),,并針對安全與合規(guī)性問題對云資源進(jìn)行安全升級與管控,。
4.2 數(shù)據(jù)傳輸和指紋技術(shù)
數(shù)據(jù)傳輸管理
管理員可以通過 DMP 的數(shù)據(jù)傳輸管理功能對設(shè)計(jì)數(shù)據(jù)傳輸進(jìn)行自助管理:實(shí)現(xiàn)創(chuàng)建 / 更改 / 刪除數(shù)據(jù)傳輸通道,自助配置數(shù)據(jù)傳輸通道的安全策略,。支持人工審核的數(shù)據(jù)傳輸方式,,提供人工審核流程并在數(shù)據(jù)傳輸申請批準(zhǔn)后自助進(jìn)行數(shù)據(jù)傳輸。對所有數(shù)據(jù)傳輸操作進(jìn)行監(jiān)控和日志記錄,,滿足安全審計(jì)的需求,。
普通用戶可以通過DMP的數(shù)據(jù)傳輸管理功能傳輸通道信息進(jìn)行查詢,并能通過人工審核提交數(shù)據(jù)傳輸申請,。
指紋技術(shù)
指紋技術(shù)是對預(yù)先定義的非結(jié)構(gòu)化數(shù)據(jù)文件或者結(jié)構(gòu)化數(shù)據(jù)庫進(jìn)行掃描,,在對掃描內(nèi)容進(jìn)行指定指紋算法計(jì)算,生成指紋存放在指紋庫中,。當(dāng)系統(tǒng)中有數(shù)據(jù)傳輸時,,會將傳輸數(shù)據(jù)按照同樣的方式處理生成指紋,并與指紋庫中指紋進(jìn)行對比得到指紋相似度,。
指紋生成
指紋生成是對預(yù)處理過的文本按照選定的文本細(xì)粒度,,使用相應(yīng)的文件指紋算法計(jì)算文件指紋。文件指紋算法是指紋系統(tǒng)中至關(guān)重要的一個環(huán)節(jié),,其性能的優(yōu)劣直接影響指紋系統(tǒng)的好壞,。目前常用的文件指紋算法有MD5、SHA-1,、Rabinhash,、Simhash,、Minhash等。不同的算法有不同的用處,,可以根據(jù)實(shí)際需要選擇不同的算法,。
指紋選取
合適的或優(yōu)秀的指紋選取策略可以在獲得的指紋數(shù)量相對較少的情況下,取得更準(zhǔn)確的檢測結(jié)果,。指紋選取是文件指紋系統(tǒng)中另一個至關(guān)重要的環(huán)節(jié),,如果指紋選取的不當(dāng),會導(dǎo)致選取的指紋不能充分代表文件本身,,最終直接導(dǎo)致文檔相似度檢測時出現(xiàn)很大偏差,,影響文件相似度的計(jì)算結(jié)果。常用的指紋選取策略主要包括全指紋選取,、半指紋選取,、哈希斷點(diǎn)法和最小哈希值法等。
指紋驗(yàn)證
指紋驗(yàn)證,,即指紋相似度計(jì)算是文件指紋匹配系統(tǒng)的最后一步,。相似度計(jì)算主要對待檢驗(yàn)文件指紋和文件指紋庫中的文件指紋進(jìn)行比對,并計(jì)算文件指紋值之間的匹配程度(文件相似度),。計(jì)算相似度的時候,,不但要返回文件指紋與文件指紋庫對比的相似度值,還要返回最相似的文件和最相似文件的相似度,,以方便用戶對文件匹配結(jié)果進(jìn)行檢查,。
第四章 基于Azure的MVP
為了實(shí)現(xiàn)上述的“大三層平臺規(guī)劃”,摩爾精英這次結(jié)合 Azure 云的基礎(chǔ)架構(gòu),,開發(fā)了一個最小化可視產(chǎn)品 MVP,,驗(yàn)證了設(shè)計(jì)云平臺的技術(shù)可行性和基本功能。為此我們錄制了一段MVP的視頻供讀者參考,。
掃碼可下載完整版
《中國芯片設(shè)計(jì)云技術(shù)白皮書2.0》
結(jié)語
一切都剛剛開始,,一切都即將結(jié)束。自集成電路在1958年以來,,芯片產(chǎn)業(yè)獲得了指數(shù)級的增長,。終端也從早期的大型機(jī)到PC、轉(zhuǎn)移到移動設(shè)備,,再到現(xiàn)在的萬物互聯(lián)時代,。人類的日常工作和生活也隨著這些技術(shù)的變遷而發(fā)生了翻天覆地的變化。而在芯片變革終端的同時,,終端也在回饋半導(dǎo)體產(chǎn)業(yè),。無論是EDA等工具的發(fā)展,還是各種自動化設(shè)備的升級,,無一不在推動著芯片產(chǎn)業(yè)往更強(qiáng)大的方向發(fā)展,,以滿足未來多樣化的需求?,F(xiàn)在,在芯片支撐下的云計(jì)算產(chǎn)業(yè)已經(jīng)成為了當(dāng)代數(shù)字社會的重要支撐,。對于芯片產(chǎn)業(yè)而言,,也開啟了跑步融入云計(jì)算,提升設(shè)計(jì)和生產(chǎn)效率的時候,。讓我們一起攜手共同迎接新時代的到來,。