Märtsis Google Cloud Next '17 kuulutatuna on Google Titani turvaplokk Google'i teise katse ehitada üles oma turvalisuse volitusi ja kitsendada lünki konkurentidega - peamiselt AWS ja Microsoft Azure. Pärast seda, kui Google on oma andmekeskustes kiibi juba mõnda aega katsetanud, teatas Google hiljuti oma tehnilistest üksikasjadest. Niisiis, kui olete jõudnud uudistele Google'i Titani turvalisuse kiibist ja mõtlesin, mis see kõik on. Noh, selles artiklis, ma lähen üle, mida Google Titan turvalisuse kiip on, kuidas see toimib, ja kõike muud, mida pead teadma.
Mis on Titan Security Chip?
Kõige lihtsamate sõnadega on Titan turvalisuse kiip, mis takistab rünnakute tüüpi, kus valitsuse spioonid lõikavad riistvara ja sisestavad püsivara implantaadi . Praegu teevad ründajad seda peamiselt uurides püsivara haavatavusi, et ületada operatsioonisüsteemi kaitsemehhanismid ja installida rootkitid, mis võivad püsida ka pärast operatsioonisüsteemi uuesti installimist.
Titan on osa Google'i pilveplatvormist (GCP), mis on projekteeritud, ehitatud ja käitatud eesmärgiga kaitsta klientide koodi ja andmeid. Kiip on turvaline, vähese energiatarbega mikrokontroller, mis on loodud tagamaks, et süsteemid käivitatakse alati viimasest teadaolevast heast olekust. Kiip on väikese kõrvarõnga suurusega ja on juba paigaldatud paljudesse arvutiserveritesse ja võrgukaartidesse, mis asuvad Google'i suurtes andmekeskustes.
Kui kiip esmakordselt käesoleva aasta märtsis avati, kavatses Google kasutada protsessorit, et anda igale serverile individuaalne identiteet. Tänaseks kasutab Google Titani turvamärke, et kaitsta oma teenuseid, nagu Google'i otsing, Gmail ja YouTube.
Mida sisaldab Titan Security Chip?
Google'i andmekeskuste masinatel on mitu komponenti, sealhulgas CPU-d, RAM-i, BMC-d, võrguliidese kontrollerit (NIC), käivitamise püsivara, alglaadimisseadme välku ja püsivat salvestust. Need komponendid suhtlevad üksteisega masinate käivitamiseks süstemaatiliselt. Selle käivitamisprotsessi kaitsmiseks kasutab Google soovitud turvameetmete tagamiseks turvalist käivitusprogrammi, mis tugineb autentitud alglaadimisseadme ja bootloaderi kombinatsioonile koos digitaalselt allkirjastatud boot-failidega.
Titan on spetsiaalselt loodud kiip, mis mitte ainult ei vasta nendele ootustele, vaid pakub ka kahte olulist täiendavat turvaomadust - heastamist ja esmakordset õpet. Kiip suhtleb põhitöötlusseadmega SPI-siini kaudu ja sekkub nende osade, nagu BMC või PCH, käivitamise püsivara välklambi vahel. See võimaldab tal jälgida iga buutivara baidi.
Selleks, et saavutada Titani lubadusi, koosneb see mitmest komponendist . Mõned olulisemad neist on allpool.
- Turvaline rakenduste protsessor
- Krüptograafiline kaasprotsessor
- Riistvara juhusliku numbri generaator
- Keerukas võtmehierarhia
- Sisseehitatud staatiline RAM (SRAM)
- Sisseehitatud välk
- Kirjutuskaitstud mälu plokk
- Serial Peripheral Interface (SPI) buss
- Baseboardi juhtimise kontroller (BMC) või platvormi kontroller (PHC)
Kuidas Titan Security Chip töötab?
Esimene samm Titani turvalisuse kiibi töötlemisel on koodi töötlemine selle töötlejate poolt . See toimub kohe pärast masina sisselülitamist. Seejärel valmistatakse tootmisprotsessis muutumatu kood, mida usaldatakse kaudselt ja kinnitatakse iga kiibi lähtestamise korral. Hiljem teostab kiip isetesti, mis on selle mällu sisse ehitatud. See juhtub iga kord, kui see käivitub tagamaks, et kogu mälu, kaasa arvatud ROM, ei ole muudetud.
Järgmine samm on laadida Titani püsivara . Kuigi see püsivara on sisseehitatud kiibi välkmällu, ei usalda Titan boot ROM seda pimesi. Selle asemel kontrollib ta Titani püsivara avaliku võtme krüptograafia abil ja segab selle kinnitatud koodi identiteedi Titani võtmehierarhiaga. Lõpuks laadib boot ROM kontrollitud püsivara.
Kui Titani kiip on oma püsivara turvaliselt sisse lülitatud, kontrollitakse seejärel hostivõtte püsivara välgu sisu avaliku võtme krüptograafia abil. Kuigi see kontrollimine on pooleli, võib Titan PCH / BMC-le juurdepääsu alglaadimisseadme välklampile. Nüüd, kui protsess lõpuks lõpule jõuab, saadab kiip signaali ülejäänud masina vabastamiseks lähtestamisest. See signaal annab Google'i pilveplatvormile teavet selle kohta, millist alglaadimisseadet ja OS-i käivitatakse oma masinast esimesest juhisest. Google'i pilveplatvorm saab ka teada mikrokoodide plaastritest, mis on enne alglaadimisseadme esimest käsku tõmmatud.
Lõpuks konfigureerib Google'i kinnitatud boot firmware masina ja laadib bootloaderi . Seejärel kontrollitakse ja laaditakse operatsioonisüsteem.
Miks Titan Security Chip vaja?
Kuna enamik võrgu riistvara ja servereid tehti välismaale, olid Google Cloud Platformi töötavad andmekeskuse operaatorid mures selle pärast, et rahvusriikide häkkerid või küberkurjategijad võivad neid seadmeid enne nende saatmist ohustada. Google'i Titani kiip käsitleb neid probleeme pidevate kontrollide abil, mis pakuvad pilvandmetöötluse riistvarale täiendavat turvalisust. See võimaldab ettevõttel säilitada oma tarneahelas mõistmise taset, mida neil muidu ei oleks.
Teine põhjus, miks Titani turvaplokk arvutiserveritesse paigaldatakse, on vastuolus olevad uued püsivara rünnakud, mis võivad sihtida uuesti kirjutatavaid püsivara kiipe. Need võivad olla kas BIOS kiibid või kõvaketta kontrollerid.
Kuidas Titani turvalisuse kiip Google'ile kasu toob?
Titani turvalisuse kiibile on Google'ile kaks peamist viisi. Esiteks on turvalisuse vaatepunkt ja teine on konkurentsivõimeline vaatepunkt.
Turvalisuse seisukohast on Titani kiip Google'ile kasulik järgmistel viisel:
- See pakub riistvarapõhist usalduse juurt, mis loob masina tugeva identiteedi. See aitab Google'il teha olulisi turvaotsuseid ja kinnitada süsteemi tervist. Selle tulemusena tagatakse tehtud muudatuste pöördumatu kontrolljälg.
- Pettuste avastamise logimisvõimalused aitavad tuvastada siseringi ja juurepääsu poolt teostatud toiminguid.
- Kiip pakub püsivara ja tarkvara komponentide terviklikkust.
Konkurentsivõimelisest vaatenurgast on Google'i pilveplatvormil praegu 7% ülemaailmne pilve turuosa. See teeb sellest kolmanda koha Amazon Web Services (AWS) (41% turuosa) ja Microsoft Azure'i (13% turuosa) poolest. Uue Titani kiibiga soovib Google ennast oma konkurentidest lahutada ja oma pilvandmetöötlusplatvormile tuua rohkem turvakeskseid ettevõtteid. See on oluline samm, sest Gartneri sõnul on ülemaailmne pilvandmetöötluse turg ligi 50 miljardit dollarit.
Sellest tulenevalt on Google välja töötanud Titanil põhineva lõppsõlme krüptograafilise identiteedi süsteemi . See võib veelgi toimida usalduse põhjusena erinevate andmekeskuste krüptograafiliste toimingute jaoks.
Kas Titan Security Chip aitab Google'it tõesti aidata?
Kuigi Google'i pilveplatvorm jääb praegu konkurentide, eriti AWSi taga, tundub Titani turvaplokk nende jaoks palju. Oma muljetavaldavate testitulemuste tõttu tuleb kõik see, kas kiip aitab Google'i pilveteenustel pikemas perspektiivis teistest silma paista. Isiklikult olen väga huvitatud ka sellest, kuidas asjad välja tulevad. Aga sina? Andke mulle teada oma mõtted sellest allpool olevas kommentaaride osas.
