Rekomenduojama, 2021

Redaktoriaus Pasirinkimas

Kas yra „Google Titan Security Chip“ ir kaip ji veikia?

„Google Titan“ saugos mikroschema, paskelbta kovo mėn. „Google Cloud Next“ 17, yra dar vienas „Google“ pastangos blokuoti savo saugumo įgaliojimus ir susiaurinti atotrūkį su konkurentais - pirmiausia AWS ir „Microsoft Azure“. Išbandę lustą savo duomenų centruose jau seniai, „Google“ neseniai paskelbė savo technines detales. Taigi, jei jūs peržengėte naujienas apie „Google“ „Titan“ saugos mikroschemą ir įdomu, apie ką kalbama. Na, šiame straipsnyje aš eisiu per tai, ką reiškia „Google Titan“ saugos mikroschema, kaip tai veikia, ir visa kita, ką jums reikia žinoti.

Kas yra „Titan Security Chip“?

Paprasčiausiai žodžiais tariant, „Titan“ yra saugumo mikroschema, kuri užkerta kelią atakų tipui, kai vyriausybės šnipai sulaiko aparatūrą ir įterpia programinės įrangos implantą . Šiuo metu užpuolikai tai daro daugiausia tyrinėdami programinės įrangos pažeidžiamumą, kad įveiktų operacinės sistemos apsaugą ir įdiegtų rootkitus, kurie gali išlikti net ir tada, kai operacinė sistema bus įdiegta iš naujo.

„Titan“ yra „Google“ debesies platformos (GCP) dalis, sukurta, sukurta ir valdoma siekiant apsaugoti klientų kodą ir duomenis. Lustas yra saugus, mažos galios mikroprocesorius, sukurtas siekiant užtikrinti, kad sistemos visada įkrautų iš paskutinės žinomos geros būklės. Lustas yra nedidelio žiedo auskarai ir jau yra įdiegtas daugelyje kompiuterių serverių ir tinklo kortelių, kuriose yra daugybė „Google“ duomenų centrų.

Kai lustas pirmą kartą buvo pristatytas šių metų kovo mėnesį, „Google“ planavo naudoti procesorių, kad kiekvienas jo serveris taptų individualiu. Šiuo metu „Google“ šiuo metu naudoja „Titan“ saugos lustus, kad apsaugotų serverius, valdančius savo paslaugas, pvz., „Google“ paiešką, „Gmail“ ir „YouTube“.

Ką reiškia „Titan“ saugos mikroschema?

„Google“ duomenų centrų įrenginiuose yra keli komponentai, įskaitant procesorius, RAM, BMC, tinklo sąsajos valdiklį (NIC), įkrovos programinę įrangą, įkrovos programinės įrangos blykstę ir nuolatinį saugojimą. Šie komponentai tarpusavyje sąveikauja sistemingai norėdami paleisti mašinas. Kad apsaugotų šią įkrovos procesą, „Google“ naudoja saugią įkrovą, kuri remiasi autentifikuotos įkrovos programinės įrangos ir įkroviklio, kartu su skaitmeniniu būdu pasirašytomis įkrovos rinkmenomis, deriniu, kad užtikrintų norimas saugumo priemones.

„Titan“ yra specialiai sukurtas lustas, kuris ne tik atitinka šiuos lūkesčius, bet ir suteikia dvi svarbias papildomas saugumo savybes - ištaisymą ir pirmos instrukcijos vientisumą. Lustas bendrauja su pagrindiniu procesoriumi per SPI magistralę ir persijungia tarp komponentų, pvz., BMC arba PCH, įkrovos programinės įrangos blykstės. Tai leidžia stebėti kiekvieną įkrovos programinės įrangos baitą.

Kad būtų pasiektos „Titano“ pažadėtos saugumo priemonės, ją sudaro keli komponentai . Kai kurie iš svarbiausių yra paminėti toliau.

  • Saugus taikomųjų programų procesorius
  • Kriptografinis bendras procesorius
  • Aparatinės įrangos atsitiktinių skaičių generatorius
  • Sudėtinga pagrindinė hierarchija
  • Įterpta statinė atmintis (SRAM)
  • Įdėta blykstė
  • Tik skaitymui skirtas atminties blokas
  • Serijinis periferinis sąsaja (SPI)
  • „Baseboard Management Controller“ (BMC) arba „Platform Controller Hub“ (PHC)

Kaip veikia Titano saugumo mikroschema?

Pirmasis „Titano“ saugos lusto veikimo žingsnis yra kodų vykdymas, kurį atlieka jos procesoriai . Tai daroma iš karto po to, kai įjungiamas kompiuteris. Tuomet gamybos procesas nustato nekintamą kodą, kuris netikėtai pasitiki ir yra patvirtintas kiekviename lustų atstatyme. Vėliau lustas atlieka savąjį testą, kuris yra įmontuotas į jos atmintį. Taip atsitinka kiekvieną kartą, kai ji įsijungia, kad užtikrintų, jog visa atmintis, įskaitant ROM, nebūtų sugadinta.

Kitas žingsnis yra įkelti „Titan“ programinę įrangą . Nors ši programinė įranga yra įdėta į „flash“ atmintį, „Titan“ įkrovos ROM nepatinka aklai. Vietoj to ji tikrina „Titan“ programinę įrangą, naudodama viešojo rakto kriptografiją, ir šios tikrinto kodo tapatybę sumaišys su pagrindine „Titan“ hierarchija. Galiausiai įkrovos ROM įkelia patvirtintą programinę įrangą.

Kai „Titan“ lustas saugiai įsijungia į savo programinę įrangą, priimančiosios „boot“ programinės įrangos blykstės turinys patikrinamas naudojant viešojo rakto kriptografiją. Nors šis patikrinimas vyksta, „Titan“ gali įjungti „PCH / BMC“ prieigą prie „boot firmware“ blykstės. Dabar, kai procesas bus baigtas, lustas siunčia signalą, kad atlaisvintų likusią mašinos dalį iš naujo. Šis signalas suteikia „Google“ debesies platformai informaciją apie tai, kokią įkrovos programinę įrangą ir OS paleisti į savo mašiną nuo pirmojo nurodymo. „Google“ debesies platforma taip pat sužino apie mikrokodų pataisas, kurios galėjo būti iškeltos prieš pradinę programinės įrangos programinę įrangą.

Galiausiai „Google“ patvirtinta įkrovos programinė įranga konfigūruoja įrenginį ir įkelia įkrovos paleidiklį . Tai vėliau patikrina ir įkelia operacinę sistemą.

Kodėl reikia Titan Security Chip?

Kadangi dauguma tinklo aparatūros ir serverių buvo pagaminti užsienyje, „Google“ debesies platformoje dirbantys duomenų centrų operatoriai buvo susirūpinę dėl galimybės, kad nacionaliniai įsilaužėliai ar kibernetiniai nusikaltėliai gali pakenkti šiems prietaisams prieš juos išsiunčiant. „Google“ „Titan“ lustas sprendžia šiuos susirūpinimus nuolat atliekant patikrinimus, kurie suteikia papildomą saugumą „cloud computing“ įrangai. Tai leidžia bendrovei išlaikyti supratimo lygį savo tiekimo grandinėje, kurios kitaip nebūtų.

Kita priežastis, kodėl įdiegus „Titan“ saugos mikroschemą kompiuterių serveriuose, yra priešingos naujos programinės įrangos atakos, kurios gali nukreipti į pakartotinai įrašomus programinės įrangos lustus. Tai gali būti BIOS lustai arba kietojo disko valdikliai.

Kaip „Titan“ saugos mikroschema naudinga „Google“?

Yra du pagrindiniai „Titan“ saugos mikroschemos „Google“ privalumai. Pirma yra saugumo taškas ir antra - konkurencinis požiūris.

Saugumo požiūriu „Titan“ lustas naudingas „Google“ šiais trimis būdais:

  • Jis suteikia techninės įrangos pagrindu pasitikėjimo šaknį, kuris sukuria tvirtą mašinos tapatybę. Tai padeda „Google“ priimti svarbius saugumo sprendimus ir patvirtinti sistemos sveikatą. Dėl to tai užtikrina negrįžtamą visų atliktų pakeitimų audito seką.
  • Įspėjamieji registravimo pajėgumai padeda nustatyti veiksmus, kuriuos atlieka viešai neatskleista informacija.
  • Lustas siūlo vientisą programinės ir programinės įrangos komponentų patikrinimą.

Konkurenciniu požiūriu „Google“ debesies platforma šiuo metu turi 7% pasaulinės debesų rinkos dalies. Tai daro trečią vietą kaip „Amazon Web Services“ (AWS) (41% rinkos dalis) ir „Microsoft Azure“ (13% rinkos dalis). Su naujuoju „Titan“ lustu „ Google“ siekia išsiskirti nuo konkurentų ir į savo debesų kompiuterijos platformą atnešti daugiau į saugumą orientuotų įmonių. Tai svarbus žingsnis, nes, pasak „Gartner“, pasaulinė debesų kompiuterijos rinka yra beveik 50 milijardų dolerių.

Dėl to „Google“ taip pat sukūrė „Titano“ pagrindu veikiančią kriptografinės tapatybės sistemą . Tai taip pat gali būti pasitikėjimo pagrindu įvairioms kriptografinėms operacijoms jų duomenų centruose.

Ar „Titan Security Chip“ tikrai padės „Google“?

Nors „Google“ debesies platforma šiuo metu atsilieka nuo konkurentų, ypač „AWS“, „Titan“ saugos mikroschema jiems atrodo labai daug. Su savo įspūdingais bandymų rezultatais viskas atsitinka, ar lustas padės „Google“ debesies paslaugoms išsiskirti iš kitų ilgiau. Asmeniškai man labai įdomu ir pamatyti, kaip viskas pasirodys. Ką apie jus? Leiskite man žinoti savo mintis apie tai toliau esančiame komentarų skyriuje.

Top