A appaiono alla sicurezza fondamentale durante la creazione di sistemi o unità
Pubblicato: 2021-12-30
Con l'evolversi degli attacchi informatici, la protezione del solo software non è più sufficiente. In realtà, secondo un rapporto Microsoft del 2020, oltre l'80% delle aziende ha eseguito almeno un attacco firmware professionale negli ultimi due anni. Poiché gli adeguamenti all'informatica continuano, come il decentramento dal cloud all'edge computing geograficamente disperso, è fondamentale che la sicurezza odierna sia radicata anche nei componenti. Ogni parte, dal pacchetto software al silicio, svolge una funzione che aiuta a proteggere le informazioni e gestire l'integrità del dispositivo.
Ma l'industria deve affrontare diverse preoccupazioni, insieme all'assenza di un'effettiva sicurezza fisica. Ad esempio, nel data center, le società di provider di servizi cloud vogliono fornire garanzie da amministratori non autorizzati. E ai margini, i dispositivi possono essere privi di personale e in destinazioni fisicamente sensibili. Inoltre, i carichi di lavoro distribuiti non sono più monolitici, infatti vengono elaborati per mezzo di una serie di apparecchiature e micro-aziende. Per proteggere la connessione più debole, le informazioni devono essere salvaguardate ad ogni singola azione. E infine, le informazioni sulla creazione e l'elaborazione dei gadget vengono progressivamente variate. È necessario utilizzare protezioni affidabili nel codice che opera su tutti i processori, ad esempio CPU, GPU, sensori, FPGA e così via.
In che modo i fornitori di componenti stanno rafforzando l'affidabilità di dispositivi e dispositivi per aiutare a combattere le crescenti minacce?
Il ciclo di vita dell'avanzamento della stabilità (SDL) è stato un'iniziativa inizialmente introdotta da Microsoft per migliorare la sicurezza del software per computer, ma ora è molto più ampiamente utilizzato per tutti gli stili di soluzioni. I fornitori di componenti utilizzano le tecniche SDL per riconoscere minacce, mitigazioni e creare richieste di sicurezza. Oltre all'SDL, è importante disporre di un framework che guidi le decisioni sull'architettura e le selezioni del layout per i nuovi sistemi di stabilità. Ciò include spesso elementi o pilastri come la sicurezza di base, le protezioni del carico di lavoro e l'affidabilità delle applicazioni. In questo articolo, vorrei puntare sulla sicurezza di base.
Le tecnologie di stabilità fondamentale costituiscono una base vitale di sicurezza mirata all'identificazione e all'integrità. I clienti incontrano il problema di acquisire fiducia in una tecnica realizzata da una vasta gamma di componenti e aziende in silicio. Le protezioni di base costanti su apparecchiature di elaborazione assortite lo consentono. Questo contiene, ad esempio, le caratteristiche destinate all'avvio sicuro, agli aggiornamenti, alle protezioni di runtime e alla crittografia, che aiutano a verificare l'affidabilità dei dispositivi e dei fatti.
Il concetto di protezione fondamentale consiste nello stile e nella progettazione di un metodo in grado di fornire componenti in una configurazione identificata e sicura e disporre di tutti i ganci importanti per mantenerli tali. Indipendentemente dall'architettura sottostante, si prevede che un programma per PC onesto fornirà protezioni continue durante tutto il suo ciclo di vita e tutti gli stati informativi e le transizioni. Indipendentemente dal fatto che i dettagli si trovino nel cloud, nell'edge o in un gadget personale, la sicurezza di base può garantire che processori e componenti di sistema stiano eseguendo la loro sezione per proteggere i fatti e le transazioni di calcolo.
Quali sono alcune funzionalità e tecnologie di sicurezza vitali che rappresentano le basi per la visione della stabilità end-to-finish?
Radici di fiducia
Avere fede in è una catena che parte da una radice (o la radice di credere). È una formula magica, che è comunemente un critico crittografico o stabilito di chiavi crittografiche bruciate nel chip, ottenibile solo dai componenti che fanno parte della catena in cui si crede. Potrebbero esserci diverse radici di credenza in un processo (ad esempio il silicio /parti o piattaforma rooted). Una radice di credenza dei componenti è responsabile della creazione di affidabilità prima dell'avvio e durante il runtime del sistema. Ordina le basi per la sicurezza sui dispositivi (o una base di calcolo affidabile) e un noto punto di partenza protetto. Ma lo fa anche molto di più, a seconda dell'implementazione. Non solo fornisce il dispositivo o l'intero programma in un ottimo punto riconosciuto, ma fornisce anche punti vendita e gestisce le chiavi crittografiche e dimostra l'identificazione e le misurazioni a una parte affidabile per stabilire la fiducia utilizzando attestazione, segnalazione, verifica e misure di integrità.
Al giorno d'oggi, i venditori di hardware presentano le radici delle tecnologie di fiducia nel tipo di moduli di sicurezza, in questo modo come Trustworthy Platform Modules (TPM), con capacità del silicio integrate nel processore principale o come coprocessori di sicurezza dedicati per uno strato in eccesso di sicurezza. L'isolamento delle funzioni di sicurezza supporta la separazione degli obblighi e può aiutare a implementare idee Zero-Trust all'interno del silicio. L'aumento dei sistemi di protezione dei componenti come le PUF (Physically Unclonable Functions) estraggono le impronte digitali dell'hardware e presentano un identificatore speciale per il sistema. Questo è molto simile a una soluzione cruciale che può essere applicata come root per la configurazione indipendentemente dal fatto che il software sia in esecuzione sulla piattaforma adatta.
Aggiornamenti e ripristino sicuri
Le radici dell'avere fiducia nel garantire che una procedura inizi in modo sicuro, ma dopo nella procedura come vengono gestiti i miglioramenti? L'amministrazione protetta delle regolazioni e le modifiche ai metodi sono inevitabili nella maggior parte dell'hardware. Dovrebbero essere presenti meccanismi per gli aggiornamenti di runtime sicuri, la firma del codice e la verifica della firma. Questo include l'aiuto e l'applicazione degli aggiornamenti protetti dell'applicazione e del firmware, che è fondamentale per mantenere l'integrità di un processo. Consentire ai dispositivi di eseguire aggiornamenti non protetti e/o non autorizzati senza requisiti di firma di implementazione può compromettere il punto di esecuzione protetto inteso del sistema. Ciò premia le protezioni di ripristino o gli aggiornamenti del firmware consentiti solo quando il firmware può essere testato per essere più recente dell'edizione esistente o quando autorizzato da un'autorità affidabile. Significa anche che i guasti devono essere previsti e gestiti in modo tale da lasciare il sistema in una condizione sicura e protetta (ad esempio, ripristino).
Le modalità e gli effetti di errore dovrebbero essere visti come tutti attraverso lo stile del metodo. Oltre alle modalità operative predefinite per l'avvio e gli aggiornamenti, le modalità di ripristino (eventualmente abilitate dalla persona o utilizzate meccanicamente dal programma) possono supportare il rilevamento di problemi o comportamenti imprevisti.
Crittografia e protezione dei dati
Quando si tratta di crittografia e protezione dei dettagli, avere circuiti dedicati è davvero unico nel suo genere per l'accelerazione. Le implementazioni dei componenti sono più veloci. E c'è una corsa costante per rafforzare l'efficacia delle criptovalute. Il vicinato vorrebbe (e desidera) che la conoscenza fosse criptata. È una delle risorse più importanti che un gruppo gestisce. La riservatezza è generalmente protetta attraverso la crittografia dei dati e un forte controllo di acquisizione. Oltre alle radici di affidamento e stabilità dei processi (come catena di avvio sicura, aggiornamenti, ripristino e molti altri), la crittografia aggiuntiva può supportare la conferma che solo codice e app affidabili funzionano su una macchina. Tuttavia, poiché la crittografia viene utilizzata per diversi componenti di un processo, può influire sulle prestazioni.
Sapere esattamente dove questi impatti sulle prestazioni generali si intersecano con le nuove tecnologie è fondamentale quando si costruisce una procedura. Ma gli sviluppi nelle prestazioni delle criptovalute stanno aiutando a creare modelli molto più protetti e di qualità superiore. Ciò include funzionalità come nuove raccomandazioni per l'accelerazione della crittografia essenziale per il pubblico in generale (che può aiutare a ridurre i prezzi), la crittografia della memoria totale e la crittografia dei collegamenti ipertestuali. Perfettamente come un'ulteriore innovazione tecnologica a lungo termine che sta aiutando a mettere insieme la resilienza quantistica e la crittografia omomorfica.
La sicurezza fondamentale sostiene una visione della stabilità centrata sulle unità. Tutti questi elementi funzionano come parte di un processo per controllare il codice che consente i flussi di conoscenza. L'affidabilità è ora un problema di unità. Si estende a tutti i tipi di prodotti di elaborazione man mano che i carichi di lavoro si spostano attraverso le piattaforme. Ogni singola unità, tecnica e carico di lavoro dovrebbe avere integrità e identificazione durante tutto il suo ciclo di vita e le sue transizioni. L'obiettivo è che quasi ogni pezzo di silicio attesti la sua reale identità e condizione di sicurezza in qualsiasi momento. Indipendentemente dal fatto che i dati si trovino nel cloud, nell'edge o in un singolo sistema, i consumatori vogliono essere certi che il silicio stia facendo il suo dovere nella protezione dei dati e delle transazioni informatiche.
Per saperne di più sulla stabilità di base nell'hardware, esamina il Reliable Computing Group, la Distributed Administration Activity Pressure o i NIST System Firmware Resiliency Tips.
Asmae Mhassni, ingegnere principale, Intel