Sistemler veya birimler oluştururken temel güvenlikte A görünür
Yayınlanan: 2021-12-30
Siber saldırılar gelişmeye devam ederken, yalnızca yazılım koruması artık yeterli değil. Gerçekte, 2020 Microsoft raporuna göre, işletmelerin %80'inden çok daha fazlası, önceki iki yılda en az tek bir ürün yazılımı saldırısına profesyonelce sahiptir. Buluttan coğrafi olarak dağınık uç bilişime ademi merkeziyetçilik gibi bilgi işlem ayarlamaları devam ederken, bugünün güvenliğinin de bileşenlere dayanması kritik önem taşıyor. Yazılım paketinden silikona kadar her parça, bilgilerin güvenli hale getirilmesine ve cihaz bütünlüğünün yönetilmesine yardımcı olan bir işlevi yerine getirir.
Ancak endüstri, gerçek fiziksel güvenliğin olmamasıyla birlikte çeşitli endişelerle karşı karşıya. Örneğin, veri merkezinde Bulut Sağlayıcı Şirketler, haydut yöneticilerden güvence vermek ister. Ve uçta, cihazlar personelsiz ve fiziksel olarak hassas yerlerde olabilir. Ayrıca, dağıtılmış iş yükleri artık bir dizi ekipman ve mikro şirket tarafından işlenen yekpare gerçekler değildir. En zayıf bağlantıyı güvence altına almak için, bilgilerin her bir eylemde korunması gerekir. Ve son olarak, bilgi üreten ve işleyen aygıtlar giderek çeşitleniyor. CPU'lar, GPU'lar, sensörler, FPGA'lar vb. gibi tüm işlemcilerde çalışan kodlarda güvenilir korumaların kullanılması gerekir.
Bileşen satıcıları artan tehditlerle mücadeleye yardımcı olmak için cihazlara ve cihazlara nasıl güvenilirlik kazandırıyor?
Kararlılık geliştirme yaşam döngüsü (SDL), ilk olarak Microsoft tarafından bilgisayar yazılımı güvenliğini artırmak için başlatılan bir girişimdi, ancak şimdi çok daha geniş bir şekilde tüm çözüm tarzlarında kullanılıyor. Bileşen satıcıları tehditleri, azaltmaları tanımak ve güvenlik talepleri oluşturmak için SDL tekniklerini kullanır. SDL'ye ek olarak, yeni stabilite sistemleri için mimari kararları ve yerleşim seçimlerini yönlendiren bir çerçeveye sahip olmak önemlidir. Bu genellikle temel güvenlik, iş yükü korumaları ve uygulama güvenilirliği gibi şeyleri veya sütunları içerir. Bu yazıda, temel güvenliği hedeflemek istiyorum.
Temel kararlılık teknolojileri, tanımlama ve bütünlüğü hedefleyen hayati bir güvenlik temeli oluşturur. Müşteriler, çeşitli yerleşik silikon bileşenleri ve şirketlerinden hazırlanmış bir teknikte güven kazanma sorunuyla karşılaşırlar. Çeşitli işleme ekipmanlarında sabit temel korumalar buna izin verir. Bu, örneğin, cihazların ve gerçeklerin güvenilirliğini doğrulamaya yardımcı olan güvenli başlatma, güncellemeler, çalışma zamanı korumaları ve şifrelemeye yönelik özellikleri içerir.
Temel koruma kavramı, bileşenleri tanımlanmış ve güvenli bir konfigürasyonda teslim edebilen ve onları bu şekilde tutmak için önemli olan tüm kancalara sahip bir yöntem tasarlamak ve tasarlamaktır. Temel mimari ne olursa olsun, dürüst bir bilgisayar programının yaşam döngüsü ve tüm bilgi durumları ve geçişleri boyunca sürekli koruma sağlaması beklenir. Ayrıntılar bulutta, uçta veya kişisel bir aygıtta olsun, temel güvenlik, işlemcilerin ve sistem bileşenlerinin gerçekleri ve bilgi işlem işlemlerini güvence altına alma konusundaki görevlerini yerine getirdiğine dair güvence verebilir.
Uçtan uca kararlılık vizyonunun temelini oluşturan bazı hayati güvenlik yetenekleri ve teknolojileri nelerdir?
güvenin kökleri
İnanmak, bir kökten (ya da inanmanın kökünden) başlayan bir zincirdir. Bu, genellikle bir kriptografik kritik olan veya çipe yakılan kriptografik anahtarların yerleşik olduğu, yalnızca inanma zincirinin parçası olan bileşenler tarafından elde edilebilen sihirli bir formüldür. Bir sürece inancın birkaç kökü olabilir (örneğin silikon /parçalar veya platform köklü). İnanç bileşenlerinin kökü, önyükleme öncesi ve sistem çalışma zamanı boyunca güvenilirlik oluşturmaktan sorumludur. Cihazlarda güvenlik (veya güvenilir bir bilgi işlem tabanı) ve bilinen bir korumalı başlangıç noktası için temelleri sıralar. Ama aynı zamanda uygulamaya bağlı olarak çok daha fazlasını yapar. Yalnızca cihazı veya genel programı tanınmış çok iyi bir noktaya teslim etmekle kalmaz, aynı zamanda kriptografik anahtarları çıkarır ve yönetir ve doğrulama, raporlama, doğrulama ve bütünlük ölçümleri.
Günümüzde donanım satıcıları, güven teknolojilerinin köklerini güvenlik modülleri türünde sunarlar, bu tür Güvenilir Platform Modülleri (TPM) olarak, ya ana işlemcinin içinde yerleşik silikon yetenekleriyle ya da fazladan bir katman için ayrılmış güvenlik yardımcı işlemcileri olarak. Emniyet. Güvenlik işlevlerinin yalıtılması, yükümlülüklerin ayrılmasını destekler ve silikon içinde Sıfır Güven fikirlerinin uygulanmasına yardımcı olabilir. Fiziksel Olarak Klonlanamayan İşlevler (PUF'ler) gibi yükselen bileşen koruma sistemleri, donanım parmak izlerini çıkarır ve sistem için özel bir tanımlayıcı sunar. Bu, yazılımın uygun platformda yürütülüp yürütülmediğinden bağımsız olarak kurulum için güvenilen bir kök olarak uygulanabilecek çok önemli bir çözüm gibidir.
Güvenli güncellemeler ve geri yükleme
Kökler, bir prosedürün güvenli bir şekilde başladığının garantisine güvenirler, ancak prosedürden sonra iyileştirmeler nasıl yönetilir? Korumalı ayar yönetimi ve yöntem değişiklikleri çoğu donanımda kaçınılmazdır. Güvenli çalışma zamanı güncellemeleri, kod imzalama ve imza doğrulaması için mekanizmalar olmalıdır. Bu, bir sürecin bütünlüğünü korumak için hayati önem taşıyan korumalı uygulama ve ürün yazılımı güncellemelerinin yardımını ve uygulanmasını sağlar. Cihazların, imza gereksinimleri uygulamadan güvenli olmayan ve/veya yetkisiz güncellemeler gerçekleştirmesini sağlamak, sistem dışında korunan yürütme noktasını tehlikeye atabilir. Bu, yalnızca bellenimin mevcut sürümden daha yeni olduğu test edildiğinde veya güvenilir bir yetkili tarafından yetki verildiğinde izin verilen geri alma korumalarına veya bellenim güncellemelerine bir prim koyar. Ayrıca, arızaların, sistemi güvenli ve emniyetli bir durumda bırakacak şekilde (yani restorasyon) beklenmesi ve ele alınması gerektiğini belirtir.
Hata modları ve etkileri tüm yöntem stili olarak görülmelidir. Önyükleme ve güncellemeler için varsayılan çalışma modlarına ek olarak, kurtarma modları (muhtemelen kişi tarafından etkinleştirilir veya program tarafından mekanik olarak kullanılır) endişeleri veya öngörülemeyen davranışları algılamayı destekleyebilir.
Veri şifreleme ve koruma
Şifreleme ve korumanın ayrıntılarına gelince, ayrılmış devrelere sahip olmak gerçekten hızlanma için türünün tek örneğidir. Bileşen uygulamaları daha hızlıdır. Ve kripto etkinliğini güçlendirmek için tutarlı bir yarış var. Mahalle, bilginin şifrelenmesini istiyor (ve arzu ediyor). Herhangi bir grubun yönettiği en önemli kaynaklardan biri. Gizlilik, genellikle veri şifrelemeleri ve güçlü bir ele geçirme yöntemiyle güvence altına alınır. Güven ve işlem kararlılığının köklerine ek olarak (güvenli önyükleme zinciri, güncellemeler, geri yükleme ve diğerleri gibi bu türler), ekstra şifreleme, bir makinede yalnızca güvenilir kod ve uygulamaların çalıştığını doğrulamayı destekleyebilir. Ancak bir işlemin çeşitli bileşenlerinde şifreleme kullanıldığından, performansı etkileyebilir.
Bu genel performans etkilerinin yeni teknolojilerle tam olarak nerede kesiştiğini bilmek, bir prosedür oluştururken çok önemlidir. Ancak kripto performansındaki gelişmeler, çok daha korumalı, üstün performans gösteren modeller oluşturmaya yardımcı oluyor. Bu, genel genel temel kriptografi hızlandırma (fiyatları düşürmeye yardımcı olabilir), toplam bellek şifreleme ve köprü şifreleme için yeni öneriler gibi yetenekleri içerir. Kuantum esnekliği ve homomorfik şifreleme için bir araya getirmeye yardımcı olan ek uzun vadeli teknoloji yeniliği kadar mükemmel.
Temel güvenlik, birim merkezli bir istikrar görüşünün savunucularıdır. Tüm bu öğeler, bilgi akışına izin veren kodu kontrol etmek için bir sürecin parçası olarak işlev görür. Güvenilirlik artık bir birim sorunudur. İş yükleri platformlar arasında hareket ettikçe, her türlü işleme ürününü kapsar. Her bir birim, teknik ve iş yükü, yaşam döngüsü ve geçişleri boyunca bütünlük ve tanımlamaya sahip olmalıdır. Amaç, hemen hemen her silikon parçasının herhangi bir zamanda gerçek kimliğini ve güvenlik durumunu doğrulamasını sağlamaktır. Verilerin bulutta, uçta veya bireysel bir sistemde olup olmadığına bakılmaksızın, tüketiciler, silikonun veri ve bilgi işlem işlemlerini güvence altına alma görevini üstlendiğine dair kendinden emin olmak ister.
Donanımdaki temel kararlılık hakkında çok daha fazla bilgi edinmek için Güvenilir Bilgi İşlem Grubu, Dağıtılmış Yönetim Faaliyet Baskısı veya NIST Sistemi Ürün Yazılımı Esneklik İpuçları'nı inceleyin.
Asmae Mhassni, Baş Mühendis, Intel