A muncul di keamanan dasar saat membuat sistem atau unit
Diterbitkan: 2021-12-30
Ketika serangan siber terus berkembang, perlindungan perangkat lunak saja tidak lagi cukup. Sebenarnya, menurut laporan Microsoft 2020, lebih dari 80% perusahaan memiliki setidaknya satu serangan firmware profesional dalam dua tahun terakhir. Seiring dengan berlanjutnya penyesuaian terhadap komputasi – seperti desentralisasi dari cloud ke komputasi tepi yang tersebar secara geografis – sangatlah penting bahwa keselamatan saat ini juga berakar pada komponen. Setiap bagian – dari paket perangkat lunak hingga silikon – menjalankan fungsi dalam membantu mengamankan informasi dan mengelola integritas perangkat.
Tetapi industri menghadapi beberapa kekhawatiran, bersama dengan tidak adanya keamanan fisik yang sebenarnya. Misalnya, di pusat data, Perusahaan Penyedia Cloud ingin memberikan jaminan dari administrator nakal. Dan di ujungnya, perangkat dapat tidak memiliki staf dan berada di tujuan yang rentan secara fisik. Selanjutnya, beban kerja terdistribusi tidak lagi fakta monolitik diproses melalui berbagai peralatan dan perusahaan mikro. Untuk mengamankan koneksi terlemah, info perlu dijaga di setiap tindakan. Dan akhirnya, informasi pembuatan dan pengolahan gadget semakin beragam. Perlindungan yang andal harus digunakan di seluruh kode yang beroperasi pada semua prosesor, seperti CPU, GPU, sensor, FPGA, dan sebagainya.
Bagaimana vendor komponen membangun kepercayaan ke dalam perangkat dan perangkat untuk membantu memerangi ancaman yang meningkat?
Siklus hidup kemajuan stabilitas (SDL) adalah inisiatif yang pertama kali diperkenalkan oleh Microsoft untuk meningkatkan keamanan perangkat lunak komputer, tetapi sekarang jauh lebih luas digunakan untuk semua gaya solusi. Vendor komponen menggunakan teknik SDL untuk mengenali ancaman, mitigasi, dan menciptakan tuntutan keamanan. Selain SDL, penting untuk memiliki kerangka kerja yang memandu keputusan arsitektur dan pemilihan tata letak untuk sistem stabilitas baru. Ini sering mencakup hal-hal atau pilar seperti keamanan dasar, perlindungan beban kerja, dan ketergantungan aplikasi. Dalam artikel ini, saya ingin menargetkan keamanan dasar.
Teknologi stabilitas dasar membangun basis keselamatan vital yang ditargetkan pada identifikasi dan integritas. Klien menghadapi masalah memperoleh kepercayaan dalam teknik yang dibuat dari berbagai komponen dan perusahaan silikon yang mapan. Perlindungan dasar yang konstan di berbagai peralatan pemrosesan memungkinkan dengan ini. Ini berisi, misalnya, karakteristik yang ditujukan untuk boot aman, pembaruan, perlindungan runtime, dan enkripsi, yang membantu memverifikasi keandalan perangkat dan fakta.
Konsep perlindungan dasar adalah untuk merancang dan merancang metode yang dapat mengirimkan komponen dalam konfigurasi yang teridentifikasi dan aman serta memiliki semua kait penting untuk menahannya. Terlepas dari arsitektur yang mendasarinya, program komputer yang jujur diharapkan memberikan perlindungan terus-menerus sepanjang siklus hidupnya dan semua status informasi dan transisi. Tidak masalah apakah detailnya ada di cloud, edge, atau gadget pribadi, keamanan dasar dapat menawarkan jaminan bahwa prosesor dan komponen sistem menjalankan bagiannya dalam mengamankan fakta dan transaksi komputasi.
Apa saja kemampuan dan teknologi keamanan vital yang menjadi landasan bagi visi stabilitas menyeluruh?
Akar kepercayaan
Memiliki iman adalah rantai yang dimulai dari akar (atau akar percaya). Ini adalah formula ajaib, yang umumnya kritis kriptografi atau kunci kriptografi yang ditetapkan yang dibakar ke dalam chip, hanya dapat diperoleh untuk komponen yang merupakan bagian dari rantai kepercayaan. Mungkin ada beberapa akar kepercayaan dalam suatu proses (misalnya silikon /bagian atau platform di-root). Akar keyakinan komponen bertanggung jawab untuk menciptakan pra-booting yang dapat dipercaya dan selama runtime sistem. Ini memilah dasar untuk keamanan pada perangkat (atau basis komputasi yang dapat dipercaya) dan titik awal yang dilindungi yang diketahui. Tapi itu juga lebih signifikan, tergantung pada implementasinya. Tidak hanya mengirimkan perangkat atau program keseluruhan menjadi titik yang diakui sangat baik, tetapi juga outlet dan mengelola kunci kriptografi, dan membuktikan identifikasi dan pengukuran kepada pihak yang mengandalkan untuk membangun kepercayaan menggunakan pengesahan, pelaporan, verifikasi dan pengukuran integritas.
Saat ini, penjual perangkat keras menghadirkan akar teknologi kepercayaan dalam bentuk modul keamanan, seperti Modul Platform Terpercaya (TPM), dengan kemampuan silikon baik built-in di dalam prosesor utama atau sebagai co-prosesor keselamatan khusus untuk lapisan berlebih dari keamanan. Mengisolasi fungsi keselamatan mendukung pemisahan kewajiban dan dapat membantu menerapkan gagasan Zero-Trust di dalam silikon. Sistem perlindungan komponen yang meningkat seperti Physically Unclonable Functions (PUFs) mengekstrak sidik jari perangkat keras dan menghadirkan pengenal khusus untuk sistem. Ini seperti solusi penting yang dapat diterapkan sebagai dasar kepercayaan untuk menginstal terlepas dari apakah perangkat lunak dijalankan pada platform yang sesuai.
Pembaruan dan pemulihan yang aman
Akar kepercayaan dalam menjamin bahwa suatu prosedur dimulai dengan aman, tetapi setelah dalam prosedur bagaimana perbaikan dikelola? Administrasi penyesuaian yang dilindungi dan modifikasi metode tidak dapat dihindari di sebagian besar perangkat keras. Harus ada mekanisme untuk pembaruan waktu proses yang aman, penandatanganan kode, dan verifikasi tanda tangan. Fitur ini membantu dan menegakkan pembaruan aplikasi dan firmware yang dilindungi, yang sangat penting untuk menjaga integritas suatu proses. Mengaktifkan perangkat untuk melakukan pembaruan yang tidak aman dan/atau tidak sah tanpa persyaratan penandatanganan yang diterapkan dapat membahayakan titik eksekusi yang dilindungi dari sistem. Itu menempatkan perlindungan rollback premium atau pembaruan firmware yang diizinkan hanya ketika firmware dapat diuji lebih baru dari edisi yang ada atau ketika disahkan oleh otoritas yang dapat diandalkan. Ini juga menandakan bahwa kegagalan harus diharapkan dan ditangani dengan cara yang meninggalkan sistem dalam kondisi aman dan terjamin (yaitu, pemulihan).
Mode dan efek kegagalan harus dilihat secara menyeluruh melalui gaya metode. Selain mode operasi default untuk boot dan pembaruan, mode pemulihan (mungkin diaktifkan oleh orang tersebut atau digunakan secara mekanis oleh program) dapat mendukung deteksi kekhawatiran atau perilaku yang tidak terduga.
Enkripsi dan perlindungan data
Ketika datang ke detail enkripsi dan perlindungan, memiliki sirkuit khusus benar-benar salah satu jenis untuk akselerasi. Implementasi komponen lebih cepat. Dan ada perlombaan yang konsisten untuk memperkuat efektivitas kripto. Lingkungan ingin (dan menginginkan) pengetahuan untuk dienkripsi. Ini adalah orang dari sumber daya paling penting yang dikelola setiap kelompok. Kerahasiaan umumnya dijamin melalui enkripsi data dan pegangan yang kuat. Selain akar ketergantungan dan stabilitas proses (seperti rantai boot aman, pembaruan, pemulihan, dan banyak lainnya.), enkripsi tambahan dapat mendukung konfirmasi bahwa hanya kode dan aplikasi tepercaya yang beroperasi pada mesin. Tetapi karena enkripsi digunakan untuk beragam komponen suatu proses, itu dapat mempengaruhi kinerja.
Mengetahui persis di mana dampak kinerja umum tersebut bersinggungan dengan teknologi baru sangat penting saat membangun sebuah prosedur. Tetapi perkembangan dalam kinerja crypto membantu menciptakan pola yang lebih terlindungi dan unggul. Ini termasuk kemampuan seperti rekomendasi baru untuk akselerasi kriptografi esensial masyarakat umum (yang dapat membantu menurunkan harga), enkripsi memori total, dan enkripsi hyperlink. Sesempurna inovasi teknologi jangka panjang tambahan yang membantu menyatukan ketahanan kuantum penulisan dan enkripsi homomorfik.
Pendukung keamanan dasar untuk pandangan stabilitas yang berpusat pada unit. Semua elemen ini berfungsi sebagai bagian dari proses untuk mengontrol kode yang memungkinkan aliran pengetahuan. Kepercayaan sekarang menjadi masalah unit. Ini meluas ke semua jenis produk pemrosesan saat beban kerja bergerak di seluruh platform. Setiap unit, teknik, dan beban kerja harus memiliki integritas dan identifikasi sepanjang siklus hidup dan transisinya. Tujuannya adalah agar hampir setiap bagian silikon membuktikan identitas aslinya dan kondisi keamanannya kapan saja. Terlepas dari apakah data ada di cloud, edge, atau sistem individual, konsumen menginginkan kepastian diri bahwa silikon menjalankan elemennya dalam mengamankan data dan transaksi komputasi.
Untuk mengetahui lebih jauh tentang stabilitas dasar dalam perangkat keras, periksa Grup Komputasi yang Andal, Tekanan Aktivitas Administrasi Terdistribusi, atau Tip Ketahanan Firmware Sistem NIST.
Asmae Mhassni, Insinyur Utama, Intel