Ilmoitettu maaliskuussa Google Cloud Next'17: ssä, Google Titanin tietoturvapiiri on toinen rakennuslohko Googlen pyrkimyksissä purkaa tietoturvatiedotteita ja kaventaa kuilua kilpailijoidensa - ensisijaisesti AWS: n ja Microsoft Azuren - kanssa. Google on äskettäin testannut tietokeskuksissaan olevan sirun, ja ilmoitti äskettäin teknisistä yksityiskohdistaan. Joten, jos olet törmännyt uutisiin Googlen Titan-tietoturvakortista ja ihmettelet, mistä on kyse. No, tässä artikkelissa aion käydä läpi sen, mitä Google Titanin tietoturva-siru on, miten se toimii ja mitä muuta tarvitset tietää siitä.
Mikä on Titan Security Chip?
Yksinkertaisimmilla sanoilla Titan on tietoturvariippu, joka estää sellaisten hyökkäysten tyypin, joissa hallituksen vakoojat sieppaavat laitteiston ja asettavat firmware-implantin . Tällä hetkellä hyökkääjät tekevät tämän pääasiassa tutkimalla laiteohjelmiston haavoittuvuuksia, jotta ne pystyvät voittamaan käyttöjärjestelmän suojaukset ja asentamaan rootkitit, jotka voivat säilyä myös sen jälkeen, kun käyttöjärjestelmä on asennettu uudelleen.
Titan on osa Google Cloud Platformia (GCP), joka on suunniteltu, rakennettu ja jota käytetään tavoitteena suojata asiakkaiden koodi ja tiedot. Siru on turvallinen, pienitehoinen mikrokontrolleri, joka on luotu varmistamaan, että järjestelmät käynnistyvät aina viimeisestä tunnetusta hyvästä tilasta. Siru on kooltaan pieni piikkirengas, ja se on jo asennettu moniin tietokonepalvelimiin ja verkkokortteihin, jotka täyttävät Googlen massiiviset tietokeskukset.
Kun siru paljastettiin ensimmäisen kerran tämän vuoden maaliskuussa, Google aikoi käyttää prosessoria antamaan jokaiselle palvelimelle yksilöllisen identiteetin. Nykyään Google käyttää Titanin tietoturvamerkkiä suojaamaan omia palvelujaan käyttäviä palvelimia, kuten Google-hakua, Gmailia ja YouTubea.
Mitä Titan Security Chip koostuu?
Googlen tietokeskuksissa on useita komponentteja, kuten CPU, RAM, BMC, Network Interface Controller (NIC), käynnistyksen laiteohjelmisto, käynnistysohjelmiston salama ja pysyvä tallennus. Nämä komponentit ovat vuorovaikutuksessa keskenään järjestelmällisesti koneiden käynnistämiseksi. Tämän käynnistysprosessin suojaamiseksi Google käyttää suojattua käynnistystä, joka perustuu autentikoidun käynnistysohjelmiston ja käynnistyslataimen yhdistelmään yhdessä digitaalisesti allekirjoitettujen käynnistystiedostojen kanssa halutun turvatoimenpiteen aikaansaamiseksi.
Titan on erityisesti suunniteltu siru, joka ei ainoastaan täytä näitä odotuksia, vaan tarjoaa myös kaksi tärkeää turvaominaisuutta - kunnostus ja ensikäskyn eheys. Siru kommunikoi pää CPU: n kanssa SPI-väylän kautta ja välittää BMC: n tai PCH: n käynnistyslaiteohjelmiston salaman. Tämä mahdollistaa sen, että se tarkkailee jokaisen käynnistysyritysohjelmiston tavua.
Jotta Titan lupaa turvaamistoimia, se koostuu useista osista . Jotkut tärkeimmistä mainitaan alla.
- Turvallinen sovellusprosessori
- Salausyhteisprosessori
- Laitteiston satunnaislukugeneraattori
- Kehittynyt avainhierarkia
- Upotettu staattinen RAM (SRAM)
- Upotettu salama
- Vain luku -muistilohko
- Serial Peripheral Interface (SPI)-väylä
- Baseboard Management Controller (BMC) tai Platform Controller Hub (PHC)
Miten Titan Security Chip toimii?
Ensimmäinen askel Titan-tietoturvan sirussa on koodin suorittaminen sen prosessoreilta . Tämä tehdään heti, kun isäntälaite on kytketty päälle. Sitten valmistusprosessi asettaa muuttamattoman koodin, joka luotetaan epäsuorasti ja joka validoidaan jokaisella sirun nollauksella. Myöhemmin siru suorittaa itsetestin, joka on rakennettu sen muistiin. Tämä tapahtuu aina, kun se käynnistyy varmistaakseen, että kaikkia muistia, kuten ROM, ei ole muokattu.
Seuraava askel on ladata Titanin laiteohjelmisto . Vaikka tämä laiteohjelmisto on upotettu flash-muistiin, Titan-käynnistys ROM ei luota siihen sokeasti. Sen sijaan se tarkistaa Titanin laiteohjelmiston käyttämällä julkisen avaimen salausta ja sekoittaa tämän vahvistetun koodin identiteetin Titanin keskeiseen hierarkiaan. Lopuksi käynnistyslevy ladaa vahvistetun laiteohjelmiston.
Kun Titan-siru käynnistää omat laiteohjelmistonsa turvallisesti, isäntäkoneen käynnistys firmware-salaman sisältö tarkistetaan sitten käyttämällä julkisen avaimen salausta. Vaikka tämä tarkistus on meneillään, Titan voi kytkeä PCH / BMC: n pääsyn käynnistyslaiteohjelmiston salamavaloon. Nyt kun prosessi lopulta saadaan päätökseen, siru lähettää signaalin vapauttaa koneen loput nollauksesta. Tämä signaali antaa Google Cloud Platformille tietoja siitä, mitä käynnistyslaiteohjelmistoa ja käyttöjärjestelmää käynnistetään koneessaan ensimmäisestä ohjeesta. Google Cloud Platform oppii myös mikrokoodin korjaustiedostoista, jotka on ehkä haettu ennen käynnistysohjelmiston ensimmäistä ohjetta.
Lopuksi Google-vahvistetut käynnistyksen laiteohjelmistot määrittävät laitteen ja lataavat käynnistyslataimen . Tämä tarkistaa ja lataa sitten käyttöjärjestelmän.
Miksi Titan Security Chipin tarve on?
Koska suurin osa verkko-laitteista ja palvelimista tehtiin ulkomaille, Google Cloud Platformin palveluksessa olevat datakeskusten operaattorit olivat huolissaan mahdollisuudesta, että kansalliset hakkereita tai tietoverkkorikollisia vaarantavat nämä laitteet ennen niiden lähettämistä. Googlen Titan-siru käsittelee näitä huolenaiheita jatkuvilla tarkastuksillaan, jotka tarjoavat lisää turvallisuutta pilvipalvelulaitteistolle. Tämä antaa yritykselle mahdollisuuden ylläpitää ymmärrystä toimitusketjussaan, jota muuten ei olisi.
Toinen syy siihen, miksi Titan-tietoturvakortin asentaminen tietokonepalvelimiin on uudenlaisten laiteohjelmistohyökkäysten torjuminen, jotka voivat kohdistaa uudelleen kirjoitettavia laiteohjelmiston siruja. Nämä voivat olla joko BIOS-siruja tai kiintolevyohjaimia.
Miten Titan Security Chip hyötyy Googlesta?
Titanin tietoturvariipulle on kaksi ensisijaista tapaa, jolla Google hyötyy. Ensinnäkin on turvallisuusnäkökulma ja toinen on kilpailukykyinen näkökulma.
Turvapisteestä Titan-siru hyödyttää Googlea seuraavilla kolmella tavalla:
- Se tarjoaa laitteistopohjaisen luottamuksen juuren, joka luo koneen vahvan identiteetin. Tämä auttaa Googlea tekemään tärkeitä turvallisuuspäätöksiä ja validoimaan järjestelmän terveyden. Tämän seurauksena tämä takaa peruuttamattoman tarkastusjäljen kaikista tehdyistä muutoksista.
- Väärinkäytösten selvittäminen auttaa tunnistamaan sisäpiiriläisten suorittamat toiminnot.
- Siru tarjoaa kiinteän ohjelmiston ja ohjelmistokomponenttien eheyden varmentamisen.
Kilpailun näkökulmasta Google Cloud Platformilla on tällä hetkellä 7%: n globaali pilvimarkkinaosuus. Tämä tekee siitä kolmannen sijan Amazon Web Services (AWS) (41% markkinaosuus) ja Microsoft Azure (13%: n markkinaosuus) kaltaisista. Uuden Titan-sirun avulla Google haluaa asettaa itsensä eroon kilpailijoistaan ja tuoda enemmän tietoturvaan keskittyviä yrityksiä pilvipalvelualustaan. Tämä on tärkeä edistysaskel, sillä Gartnerin mukaan maailmanlaajuinen pilvipalvelumarkkinoiden arvo on lähes 50 miljardia dollaria.
Tästä seuraa, että Google on kehittänyt myös Titaniin perustuvan kryptaustunnistusjärjestelmän . Tämä voi edelleen toimia luottamuksen peruna erilaisille salaustoiminnoille niiden datakeskuksissa.
Tuleeko Titan Security Chip todella apua Googlelle?
Vaikka Google Cloud Platform on tällä hetkellä kilpailijoidensa, varsinkin AWS: n, takana, Titan-tietoturvapiiri kuulostaa heiltä paljon. Vaikuttavien testitulostensa ansiosta kaikki tulee siitä, auttaako siru Google Cloud Services -palvelua erottumaan toisistaan pitkällä aikavälillä. Henkilökohtaisesti olen hyvin kiinnostunut myös siitä, miten asiat tulevat esiin. Entä sinä? Kerro minulle ajatuksiasi tästä alla olevissa kommenteissa.