Martā pie Google Cloud Next '17 paziņots, ka Google Titan drošības mikroshēma ir vēl viens Google bloku veidojošs elements, lai izveidotu drošības datus un sašaurinātu plaisu ar konkurentiem - galvenokārt AWS un Microsoft Azure. Pēc tam, kad jau sen ir pārbaudījusi mikroshēmu datu centros, Google nesen paziņoja par savu tehnisko informāciju. Tātad, ja jūs esat saskārušies ar ziņām par Google Titāna drošības mikroshēmu un domājāt, kas tas viss ir. Nu, šajā rakstā es pārrunāšu Google Titāna drošības mikroshēmu, kā tas darbojas, un visu pārējo, kas jums jāzina.
Kas ir Titan drošības mikroshēma?
Vienkāršākajos vārdos Titāns ir drošības mikroshēma, kas novērš uzbrukumu veidu, kad valdības spiegu pārtver aparatūru un ievieto programmaparatūras implantu . Pašlaik uzbrucēji to dara, galvenokārt izpētot programmaparatūras ievainojamību, lai pārvarētu operētājsistēmas aizsardzību un instalētu rootkit, kas var pastāvēt arī pēc operētājsistēmas atkārtotas instalēšanas.
Titan ir daļa no Google mākoņdatošanas platformas (GCP), kas ir izstrādāta, būvēta un darbojas ar mērķi aizsargāt klientu kodu un datus. Šī mikroshēma ir drošs, mazjaudas mikrokontrolleris, kas izveidots, lai nodrošinātu, ka sistēmas vienmēr sāk darboties no pēdējā zināmā labā stāvokļa. Šī mikroshēma ir neliela auskaru izmēra un jau ir instalēta daudzos datoru serveros un tīkla kartēs, kurās tiek ievietoti Google masveida datu centri.
Kad mikroshēma pirmo reizi tika atklāta šā gada martā, Google plānoja izmantot procesoru, lai katram serverim piešķirtu individuālu identitāti. Pašlaik Google pašlaik izmanto Titan drošības mikroshēmas, lai aizsargātu serverus, kuros darbojas savi pakalpojumi, piemēram, Google meklēšana, Gmail un YouTube.
Ko nozīmē Titan Security Chip?
Google datu centru iekārtām ir vairāki komponenti, tostarp CPU, RAM, BMC, tīkla interfeisa kontrolieris (NIC), sāknēšanas programmaparatūra, sāknēšanas programmaparatūras zibspuldze un pastāvīga uzglabāšana. Šīs sastāvdaļas savstarpēji mijiedarbojas sistemātiski, lai sāktu mašīnas. Lai aizsargātu šo sāknēšanas procesu, Google izmanto drošu boot, kas balstās uz autentificētas sāknēšanas programmaparatūras un bootloader kombināciju kopā ar digitāli parakstītiem boot failiem, lai nodrošinātu vēlamos drošības pasākumus.
Titan ir speciāli izstrādāta mikroshēma, kas ne tikai atbilst šīm cerībām, bet arī nodrošina divas svarīgas papildu drošības īpašības - attīrīšanu un pirmās apmācības integritāti. Mikroshēma sazinās ar galveno CPU, izmantojot SPI kopni, un interponē starp komponentu, piemēram, BMC vai PCH, sāknēšanas programmaparatūras zibspuldzi. Tas ļauj novērot katru sāknēšanas programmaparatūras baitu.
Lai sasniegtu Titāna solītos drošības pasākumus, tas sastāv no vairākiem komponentiem . Daži no galvenajiem tiem ir minēti zemāk.
- Drošs lietojumprogrammu procesors
- Kriptogrāfiskais līdzprocesors
- Aparatūras izlases numuru ģenerators
- Sarežģīta atslēgu hierarhija
- Iegultā statiskā RAM (SRAM)
- Iebūvēta zibspuldze
- Tikai lasāms atmiņas bloks
- Sērijas perifērijas saskarne (SPI)
- Baseboard vadības kontrolieris (BMC) vai platformas kontrolieris (PHC)
Kā darbojas Titāna drošības mikroshēma?
Pirmais solis Titāna drošības mikroshēmas darbībā ir koda izpilde, ko veic tās procesori . Tas tiek darīts tūlīt pēc saimniekdatora ieslēgšanas. Tad izgatavošanas process nosaka nemainīgu kodu, kas netieši tiek uzticēts un tiek apstiprināts katrā mikroshēmas atiestatīšanas reizē. Pēc tam mikroshēma vada pašpārbaudi, kas ir iebūvēta tās atmiņā. Tas notiek katru reizi, kad tā sāk zābaku, lai nodrošinātu, ka nav saglabāta visa atmiņa, ieskaitot ROM.
Nākamais solis ir ielādēt Titan programmaparatūru . Kaut arī šī programmaparatūra ir iebūvēta zibatmiņas mikroshēmā, Titan boot ROM to akli neuzticas. Tā vietā tā pārbauda Titāna programmaparatūru, izmantojot publiskās atslēgas kriptogrāfiju, un sajauc šī verificētā koda identitāti Titāna galvenajā hierarhijā. Visbeidzot, boot ROM ielādē verificēto programmaparatūru.
Pēc tam, kad Titan mikroshēma ir droši nostiprinājusi savu programmaparatūru, saimniekdatora sāknēšanas programmaparatūras zibspuldzes saturs tiek pārbaudīts, izmantojot publiskās atslēgas kriptogrāfiju. Kamēr šī pārbaude tiek veikta, Titan var piekļūt PCH / BMC piekļuvei sāknēšanas programmaparatūras zibspuldzei. Tagad, kad process beidzot tiek pabeigts, mikroshēma nosūta signālu, lai atbrīvotu pārējo mašīnu no atiestatīšanas. Šis signāls nodrošina Google mākoņa platformu ar informāciju par to, kādas sāknēšanas firmware un OS tiek sāktas savā datorā no pirmās instrukcijas. Google mākonis platforma arī uzzina par mikrokoda ielāpus, kas varētu būt ielādēti pirms sāknēšanas programmaparatūras pirmās instrukcijas.
Visbeidzot, Google pārbaudītais boot firmware konfigurē iekārtu un ielādē bootloader . Tas vēlāk pārbauda un ielādē operētājsistēmu.
Kāpēc nepieciešams Titan Security Chip?
Tā kā lielākā daļa tīkla aparatūras un serveru tika izgatavoti ārzemēs, datu centru operatori, kas strādā Google mākoņdatošanas platformā, bija nobažījušies par iespēju, ka nacionālās valsts hackers vai kibernoziedznieki var apdraudēt šīs ierīces pirms to nosūtīšanas. Google Titan mikroshēma risina šīs problēmas, veicot pastāvīgas pārbaudes, kas nodrošina papildu drošību mākoņdatošanas aparatūrai. Tas ļauj uzņēmumam uzturēt izpratnes līmeni savā piegādes ķēdē, kas viņiem citādi nebūtu.
Vēl viens iemesls, kāpēc Titāna drošības mikroshēmas instalēšana datoru serveros ir jaunie programmaparatūras uzbrukumi, kas var novirzīt atkārtoti ierakstāmus programmaparatūras mikroshēmas. Tie var būt vai nu BIOS mikroshēmas, vai cietā diska kontrolieri.
Kā Titan Security Chip gūst labumu no Google?
Ir divi galvenie veidi, kā Titan drošības mikroshēma gūst labumu no Google. Pirmkārt, drošības viedoklis un otrais ir konkurētspējīgs viedoklis.
No drošības viedokļa Titan mikroshēma dod labumu Google šādos trīs veidos:
- Tas nodrošina uz aparatūru balstītu uzticības sakni, kas rada spēcīgu mašīnas identitāti. Tas palīdz Google pieņemt svarīgus drošības lēmumus un apstiprina sistēmas veselību. Tā rezultātā tiek nodrošināta neatgriezeniska revīzijas liecība par visām veiktajām izmaiņām.
- Nepārprotamas mežizstrādes iespējas palīdz identificēt darbības, ko veic iekšējās informācijas turētājs ar root piekļuvi.
- Mikroshēma piedāvā programmaparatūras un programmatūras komponentu integritātes pārbaudi.
Konkurences perspektīvā Google mākoņdatošanas platformai pašlaik ir 7% globālā mākoņu tirgus daļa. Tas padara to par trešo vietu, piemēram, Amazon Web Services (AWS) (41% tirgus daļa) un Microsoft Azure (13% tirgus daļa). Ar jauno Titan mikroshēmu Google cenšas sevi atdalīt no saviem konkurentiem un piesaistīt vairāk uz drošību vērstu uzņēmumu savā mākoņdatošanas platformā. Tas ir svarīgs solis, jo, pēc Gartnera domām, pasaules mākoņdatošanas tirgus vērtība ir gandrīz 50 miljardi ASV dolāru.
Līdz ar to Google ir izstrādājusi arī no Titāna balstītu kriptogrāfiskās identitātes sistēmu . Tas var turpināt darboties kā uzticības pamats dažādām kriptogrāfiskām operācijām to datu centros.
Vai Titan Security Chip tiešām palīdzēs Google?
Kamēr Google mākonis platforma patlaban atpaliek no konkurentiem, īpaši AWS, Titan drošības mikroshēma viņiem izklausās daudz. Ar iespaidīgajiem testu rezultātiem tas viss attiecas uz to, vai mikroshēma palīdzēs Google mākoņdatošanas pakalpojumiem izcelties no citiem ilgākā laika posmā. Personīgi es esmu ļoti ieinteresēts arī redzēt, kā lietas izrādīsies. Kā ar tevi? Ļaujiet man zināt savas domas par to tālāk sniegtajā komentāru sadaļā.
