A apar la siguranța fundamentală atunci când se creează sisteme sau unități
Publicat: 2021-12-30
Pe măsură ce atacurile cibernetice continuă să evolueze, protecția doar prin software nu mai este suficientă. Într-adevăr, conform unui raport Microsoft din 2020, mult mai mult de 80% dintre întreprinderi au avut cel puțin un singur atac de firmware profesional în ultimii doi ani. Pe măsură ce ajustările la calcul continuă – cum ar fi descentralizarea de la cloud la edge computing dispersat geografic – este esențial ca siguranța de astăzi să fie înrădăcinată și în componente. Fiecare parte – de la pachetul software la silicon – îndeplinește o funcție de a ajuta la siguranța informațiilor și la gestionarea integrității dispozitivului.
Dar industria se confruntă cu mai multe griji, împreună cu o absență a siguranței fizice reale. De exemplu, în centrul de date, companiile furnizori de cloud vor să ofere asigurări de la administratorii necinstiți. Și la margine, dispozitivele pot fi fără personal și în destinații susceptibile fizic. În plus, sarcinile de lucru distribuite nu mai sunt fapte monolitice sunt procesate prin intermediul unei game de echipamente și micro-companii. Pentru a proteja cea mai slabă conexiune, informațiile trebuie să fie protejate la fiecare acțiune. Și, în cele din urmă, informațiile despre crearea și procesarea gadgeturilor sunt variate progresiv. Protecțiile de încredere trebuie să fie utilizate în codul care funcționează pe toate procesoarele, cum ar fi CPU-uri, GPU-uri, senzori, FPGA-uri și așa mai departe.
Cum își construiesc furnizorii de componente încrederea dispozitivelor și dispozitivelor pentru a ajuta la combaterea amenințărilor tot mai mari?
Ciclul de viață al dezvoltării stabilității (SDL) a fost o inițiativă introdusă la început de Microsoft pentru a spori siguranța software-ului computerului, dar acum este mult mai utilizat la toate stilurile de soluții. Furnizorii de componente folosesc tehnici SDL pentru a recunoaște amenințările, atenuările și pentru a crea cerințe de securitate. În plus față de SDL, este important să existe un cadru care să ghideze deciziile arhitecturale și selecțiile de aspect pentru noile sisteme de stabilitate. Aceasta include adesea lucruri sau piloni de acest tip, cum ar fi siguranța fundamentală, protecția sarcinii de lucru și fiabilitatea aplicațiilor. În acest articol, aș dori să țintesc securitatea fundamentală.
Tehnologiile fundamentale de stabilitate construiesc o bază vitală de siguranță care vizează identificarea și integritatea. Clienții se confruntă cu o problemă de a dobândi încredere într-o tehnică realizată dintr-o varietate de componente și companii de siliciu. Protecția de bază constantă a echipamentelor de procesare asortate permite acest lucru. Acesta conține, de exemplu, caracteristici destinate pornirii securizate, actualizărilor, protecțiilor de rulare și criptării, care ajută la verificarea fiabilității dispozitivelor și a faptelor.
Conceptul de protecție de bază este de a stila și proiecta o metodă care poate livra componente într-o configurație identificată și sigură și să aibă toate cârligele importante pentru a le ține astfel. Indiferent de arhitectura subiacentă, se anticipează că un program onest pentru computer va oferi protecție continuă pe tot parcursul ciclului său de viață și a tuturor stărilor de informații și tranzițiilor. Indiferent dacă detaliile se află în cloud, edge sau într-un gadget personal, siguranța fundamentală poate oferi asigurarea că procesoarele și componentele sistemului își execută secțiunea în securizarea faptelor și în calculul tranzacțiilor.
Care sunt unele capabilități și tehnologii de securitate vitale care reprezintă fundamentul viziunii de stabilitate de la capăt la final?
Rădăcinile încrederii
A avea credință în este un lanț care pornește de la o rădăcină (sau rădăcina de a crede în). Este o formulă magică, care este de obicei o critică criptografică sau stabilită a cheilor criptografice arse în cip, care poate fi obținută numai de componentele care fac parte din lanțul de credință în care pot exista mai multe rădăcini ale credinței într-un proces (de exemplu siliciu). /parts sau platforma rooted). O rădăcină de credință a componentelor este responsabilă pentru crearea de încredere înainte de pornire și în timpul rulării sistemului. Sortează baza pentru siguranță pe dispozitive (sau o bază de calcul de încredere) și un punct de plecare protejat cunoscut. Dar o face și mult mai mult, în funcție de implementare. Nu numai că furnizează dispozitivul sau programul general într-un punct foarte bun recunoscut, dar, de asemenea, scoate și gestionează cheile criptografice și dovedește identificarea și măsurătorile unei părți de încredere pentru a stabili încredere utilizând atestarea, raportarea, verificarea și măsurători de integritate.
În zilele noastre, vânzătorii de hardware prezintă rădăcinile tehnologiilor de încredere în felul de module de siguranță, cum ar fi Trustworthy Platform Modules (TPM), cu abilități de siliciu fie încorporate în procesorul principal, fie ca co-procesoare de siguranță devotați pentru un strat în exces de Siguranță. Izolarea funcțiilor de siguranță sprijină separarea obligațiilor și poate ajuta la implementarea ideilor Zero-Trust în interiorul siliciului. Sistemele de protecție a componentelor în creștere, cum ar fi Funcțiile neclonabile fizice (PUF) extrag amprentele hardware și prezintă un identificator special pentru sistem. Aceasta seamănă destul de mult cu o soluție esențială care poate fi aplicată ca rădăcină de bază pentru a configura, indiferent dacă software-ul se execută pe platforma adecvată.
Actualizări și restaurare sigure
Rădăcinile au încredere în garanția că o procedură începe în siguranță, dar după procedură cum sunt gestionate îmbunătățirile? Administrarea ajustării protejate și modificările metodei sunt inevitabile în majoritatea hardware-ului. Ar trebui să existe mecanisme pentru actualizări sigure de rulare, semnarea codului și verificarea semnăturii. Această caracteristică ajută și pune în aplicare actualizările protejate ale aplicației și firmware-ului, ceea ce este vital pentru menținerea integrității unui proces. Permiterea dispozitivelor să efectueze actualizări nesigure și/sau neautorizate fără a implementa cerințe de semnare poate compromite punctul de execuție protejat al sistemului. Acest lucru pune o primă pentru protecțiile de retragere sau actualizările de firmware care sunt permise numai atunci când firmware-ul poate fi testat ca fiind mai nou decât ediția existentă sau atunci când este autorizat de o autoritate de încredere. De asemenea, înseamnă că defecțiunile trebuie așteptate și tratate într-un mod care să lase sistemul într-o stare sigură și securizată (de exemplu, restaurare).
Modurile și efectele de eșec ar trebui să fie privite ca stil de metodă. Pe lângă modurile implicite de operare pentru pornire și actualizări, modurile de recuperare (posibil activate de persoană sau utilizate mecanic de program) pot suporta detectarea preocupărilor sau comportamentelor neprevăzute.
Criptarea și protecția datelor
Când vine vorba de detalii de criptare și protecție, a avea circuite dedicate este cu adevărat unic pentru accelerare. Implementările componentelor sunt mai rapide. Și există o cursă consecventă pentru a întări eficiența cripto. Cartierul ar dori (și dorește) ca cunoștințele să fie criptate. Este o persoană din cele mai importante resurse pe care le gestionează orice grup. Confidențialitatea este, în general, securizată prin criptări ale datelor și un control puternic de obținere. Pe lângă rădăcinile bazate pe baza și stabilitatea procesului (cum ar fi lanțul de pornire securizat, actualizări, restaurare și multe altele.), criptarea suplimentară poate confirma confirmarea faptului că numai codul și aplicațiile de încredere funcționează pe o mașină. Dar, deoarece criptarea este utilizată pentru diverse componente ale unui proces, poate afecta performanța.
A ști exact unde se intersectează acele impacturi generale asupra performanței cu noile tehnologii este esențial atunci când construiești o procedură. Dar evoluțiile în performanța criptomonelor ajută la crearea unor modele mult mai protejate și superioare. Aceasta include abilități precum noi recomandări pentru accelerarea criptografiei esențiale pentru publicul larg (care poate ajuta la scăderea prețurilor), criptarea totală a memoriei și criptarea hyperlink. La fel de perfect ca și inovația suplimentară a tehnologiilor pe termen lung, care ajută la punerea laolaltă pentru reziliența cuantică de redactare și criptarea homomorfă.
Securitatea fundamentală pledează pentru o viziune a stabilității centrată pe unități. Toate aceste elemente funcționează ca parte a unui proces de control al codului care permite fluxurile de cunoștințe. Încrederea este acum o problemă de unități. Se extinde la tot felul de produse de procesare pe măsură ce sarcinile de lucru se deplasează pe platforme. Fiecare unitate, tehnică și volum de lucru ar trebui să aibă integritate și identificare pe tot parcursul ciclului său de viață și tranzițiilor. Obiectivul este ca aproape fiecare bucată de siliciu să-și ateste identitatea reală și starea de securitate în orice moment. Indiferent dacă datele sunt în cloud, edge sau într-un sistem individual, consumatorii doresc să aibă încredere că siliciul își asumă elementul în securizarea datelor și a tranzacțiilor de calcul.
Pentru a afla mai multe despre stabilitatea de bază în hardware, examinați Reliable Computing Group, Distributed Administration Activity Pressure sau NIST System Firmware Resiliency Tips.
Asmae Mhassni, inginer principal, Intel