システムまたはユニットを作成するときに、基本的な安全性に表示されます
公開: 2021-12-30
サイバー攻撃が進化し続けるにつれて、ソフトウェアのみの保護ではもはや十分ではありません。 実際、2020年のMicrosoftのレポートによると、企業の80%以上が、過去2年間に少なくとも1回のファームウェア攻撃で専門家を雇っています。 クラウドから地理的に分散したエッジコンピューティングへの分散化など、コンピューティングの調整が続くにつれて、今日の安全性もコンポーネントに根ざしていることが重要です。 ソフトウェアパッケージからシリコンまでの各部分は、情報の安全性とデバイスの整合性の管理を支援する機能を実行します。
しかし、業界は、実際の物理的な安全性の欠如とともに、いくつかの懸念に直面しています。 たとえば、データセンターでは、クラウドプロバイダー企業は不正な管理者からの保証を提供したいと考えています。 また、エッジでは、デバイスに人員が配置されておらず、物理的に影響を受けやすい場所にある可能性があります。 さらに、分散されたワークロードはもはやモノリシックな事実ではなく、一連の機器やマイクロ企業によって処理されます。 最も弱い接続を保護するには、すべてのアクションで情報を保護する必要があります。 そしてついに、ガジェットの作成と処理の情報は徐々に変化します。 信頼性の高い保護は、CPU、GPU、センサー、FPGAなどのすべてのプロセッサで動作するコード全体で使用する必要があります。
コンポーネントベンダーは、増大する脅威と戦うために、デバイスやデバイスに信頼性をどのように組み込んでいますか?
安定性向上ライフサイクル(SDL)は、コンピューターソフトウェアの安全性を強化するために最初にマイクロソフトによって導入されたイニシアチブでしたが、現在ではすべてのスタイルのソリューションに広く使用されています。 コンポーネントベンダーは、SDL技術を使用して脅威、軽減策を認識し、セキュリティ要求を作成します。 SDLに加えて、新しい安定性システムのアーキテクチャの決定とレイアウトの選択をガイドするフレームワークを持つことが重要です。 これには、基本的な安全性、作業負荷の保護、アプリケーションの信頼性など、これらのタイプのものや柱が含まれることがよくあります。 この記事では、基本的なセキュリティをターゲットにしたいと思います。
基礎的な安定性技術は、識別と完全性を対象とした安全の重要な基盤を構築します。 クライアントは、確立されたさまざまなシリコンコンポーネントや企業から作成された技術に自信をつけるという問題に直面します。 これにより、さまざまな処理装置全体で一定の基本的な保護が可能になります。 これには、たとえば、安全な起動、更新、実行時保護、および暗号化を目的とした特性が含まれており、デバイスとファクトの信頼性を検証するのに役立ちます。
基本的な保護の概念は、識別された安全な構成でコンポーネントを提供し、それらを保持するために重要なすべてのフックを持つことができる方法をスタイル設定および設計することです。 基盤となるアーキテクチャに関係なく、正直なPCプログラムは、そのライフサイクルおよびすべての情報の状態と遷移を通じて継続的な保護を提供することが期待されています。 詳細がクラウド、エッジ、またはパーソナルガジェットにあるかどうかに関係なく、基本的な安全性により、プロセッサとシステムコンポーネントが、ファクトとコンピューティングトランザクションを保護するセクションを実行していることが保証されます。
エンドツーフィニッシュの安定性ビジョンの基盤を提供する重要なセキュリティ機能とテクノロジーは何ですか?
信頼のルーツ
信仰を持つことは、根(または信じる根)から始まる連鎖です。 これは魔法の公式であり、一般的に暗号化が重要であるか、チップに焼き付けられた暗号化キーで確立されており、信念の連鎖の一部であるコンポーネントに対してのみ取得できます。プロセスにはいくつかの信念のルーツが存在する可能性があります(たとえばシリコン)。 /パーツまたはプラットフォームがルート化されています)。 コンポーネントの信念の根源は、起動前およびシステムの実行全体を通じて信頼性を生み出す責任があります。 これは、デバイス(または信頼できるコンピューティングベース)の安全性の基盤と、既知の保護された開始点を分類します。 しかし、それはまた、実装に応じて、はるかに多くのことを行います。 デバイスまたはプログラム全体を認識された非常に優れたポイントに配信するだけでなく、暗号化キーをアウトレットおよび管理し、認証、レポート、検証、および完全性の測定。
今日、ハードウェアの売り手は、この種の信頼できるプラットフォームモジュール(TPM)として、主要なプロセッサの内部に組み込まれた、または過剰な層の専用の安全コプロセッサとしてのシリコン機能を備えた、一種の安全モジュールに信頼技術のルーツを提示しています。安全性。 安全機能を分離することは、義務の分離をサポートし、シリコン内にゼロトラストのアイデアを実装するのに役立ちます。 この種の物理的にクローン不可能な機能(PUF)がハードウェアのフィンガープリントを抽出し、システムの特別な識別子を提示するような、台頭するコンポーネント保護システム。 これは、ソフトウェアが適切なプラットフォームで実行されているかどうかに関係なく、セットアップに依存するルートとして適用できる重要なソリューションに非常によく似ています。
安全な更新と復元
のルーツは、手順が安全に開始されることを保証することに自信を持っていますが、手順の後、改善はどのように管理されますか? 保護された調整管理とメソッドの変更は、ほとんどのハードウェアで避けられません。 安全なランタイム更新、コード署名、および署名検証のためのメカニズムが必要です。 この機能は、プロセスの整合性を維持するために不可欠な、アプリケーションとファームウェアの保護された更新の支援と実施を支援します。 署名要件を実装せずにデバイスが安全でない更新や不正な更新を実行できるようにすると、システムの保護された実行ポイントが危険にさらされる可能性があります。 これにより、ファームウェアが既存のエディションよりも新しいかどうかをテストできる場合、または信頼できる機関によって承認された場合にのみ許可されるロールバック保護またはファームウェア更新が重視されます。 また、システムを安全で安全な状態(つまり、復元)に保つ方法で障害を予測して処理する必要があることも意味します。
故障モードと影響は、すべてメソッドスタイルで表示する必要があります。 起動と更新のデフォルトの操作モードに加えて、回復モード(おそらく人が有効にするか、プログラムが機械的に使用する)は、懸念事項や予期しない動作の検出をサポートできます。
データの暗号化と保護
暗号化と保護の詳細について言えば、専用の回路を持つことは、まさに加速のための一種です。 コンポーネントの実装はより高速です。 そして、暗号の有効性を強化するための一貫した競争があります。 近所の人は知識を暗号化することを望んでいます(そして望んでいます)。 それは、グループが管理する最も重要なリソースの人です。 機密性は通常、データの暗号化と強力な取得ハンドルによって保護されます。 依存のルーツとプロセスの安定性(これらの種類の安全なブートチェーン、更新、復元など)に加えて、追加の暗号化により、信頼できるコードとアプリのみがマシン上で動作することを確認できます。 ただし、暗号化はプロセスのさまざまなコンポーネントに利用されるため、パフォーマンスに影響を与える可能性があります。
これらの一般的なパフォーマンスへの影響が新しいテクノロジーと交差する場所を正確に知ることは、手順を構築するときに重要です。 しかし、暗号パフォーマンスの開発は、より保護された優れたパターンを作成するのに役立っています。 これには、一般の人々に不可欠な暗号化アクセラレーション(価格を下げるのに役立つ)、トータルメモリ暗号化、ハイパーリンク暗号化に関する新しい推奨事項などの機能が含まれます。 書き込み-量子レジリエンスと準同型暗号化のためにまとめるのに役立つ追加の長期的な技術革新と同じくらい完璧です。
基礎的なセキュリティは、安定性のユニット中心の見方を提唱しています。 これらの要素はすべて、知識の流れを可能にするコードを制御するプロセスの一部として機能します。 信頼性は現在、単位の問題です。 ワークロードがプラットフォーム間を移動するにつれて、あらゆる種類の処理製品に拡張されます。 すべての単一のユニット、技術、およびワークロードは、そのライフサイクルと移行を通じて完全性と識別性を備えている必要があります。 目的は、ほぼすべてのシリコンに、いつでもその真のアイデンティティとセキュリティ状態を証明させることです。 データがクラウド、エッジ、または個々のシステムのいずれにあるかに関係なく、消費者は、シリコンがデータとコンピューティングトランザクションの保護においてその要素を引き受けているという自己保証を望んでいます。
ハードウェアの基本的な安定性についてさらに詳しく知るには、Reliable Computing Group、Distributed Administration Activity Pressure、またはNIST System FirmwareResiliencyTipsを調べてください。
Asmae Mhassni、インテル、プリンシパルエンジニア