Рекомендуємо, 2024

Вибір Редакції

Що таке чіп безпеки Google Titan і як він працює?

Опублікований у березні в Google Cloud Next '17, чіп безпеки Google Titan є ще одним будівельним елементом у спробі Google розширити свої повноваження щодо безпеки та скоротити розрив між своїми конкурентами - насамперед AWS та Microsoft Azure. Після тестування чіпа у своїх дата-центрах Google зовсім недавно оголосив про свої технічні деталі. Отже, якщо ви зустрічаєтеся з новинами про чіп безпеки компанії Titan від Google, і знаєте, про що йдеться. Ну, в цій статті, я піду на те, що чіп безпеки Google Титан є, як це працює, і все інше, що вам потрібно знати про це.

Що таке чип безпеки Titan?

Найпростішим словом, Titan є чіпом безпеки, який запобігає типу атак, коли урядові шпигуни перехоплюють апаратні засоби і вставляють імплантат прошивки . В даний час, зловмисники роблять це головним чином шляхом вивчення вразливостей прошивки для подолання захисту операційної системи та встановлення руткітів, які можуть зберігатися навіть після перевстановлення операційної системи.

Titan є частиною Google Cloud Platform (GCP), яка розроблена, побудована та експлуатується з метою захисту коду та даних клієнтів. Чіп - це безпечний мікроконтролер з низькою потужністю, створений для того, щоб система завжди завантажувалася з останнього відомого хорошого стану. Мікросхема має розміри невеликих сережок і вже встановлена ​​в багатьох комп'ютерних серверах і мережевих картах, які заповнюють масивні центри обробки даних Google.

Коли чіп вперше був оприлюднений ще в березні цього року, Google планує використовувати процесор для надання кожному з його серверів індивідуальної ідентичності. На сьогоднішній день Google використовує чіпи безпеки Titan для захисту серверів, на яких працюють власні служби, такі як Google Search, Gmail і YouTube.

З чого складається чіп безпеки Titan?

Машини в центрах обробки даних Google мають декілька компонентів, включаючи процесори, оперативну пам'ять, BMC, контролер мережевого інтерфейсу (NIC), завантажувальне програмне забезпечення, завантажувальну прошивку та постійне сховище. Ці компоненти взаємодіють один з одним систематично для завантаження машин. Щоб захистити цей процес завантаження, Google використовує безпечне завантаження, яке спирається на комбінацію автентифікованого завантажувального програмного забезпечення та завантажувача, разом із завантажувальними файлами із цифровим підписом, для забезпечення бажаних заходів безпеки.

Titan - це спеціально розроблена мікросхема, яка не тільки відповідає цим очікуванням, але й надає дві важливі додаткові властивості безпеки - виправлення та цілісність перших інструкцій. Мікросхема здійснює зв'язок з головним процесором через шину SPI і вставляє між спалахом завантажувального програмного забезпечення компонентів типу BMC або PCH. Це дозволяє спостерігати за кожним байтом завантажувального програмного забезпечення.

Щоб досягти заходів безпеки, які Титан обіцяє, він складається з декількох компонентів . Деякі з них наведені нижче.

  • Безпечний процесор додатків
  • Криптографічний співпроцесор
  • Генератор апаратних випадкових чисел
  • Складна ієрархія ключів
  • Вбудована статична оперативна пам'ять (SRAM)
  • Вбудований спалах
  • Блок пам'яті лише для читання
  • Шина послідовного периферійного інтерфейсу (SPI)
  • Контролер управління платою (BMC) або концентратор контролера платформи (PHC)

Як працює чип з безпеки Titan?

Першим кроком у роботі чіпа безпеки Titan є виконання коду процесорами . Це робиться відразу після включення хост-машини. Потім процес виготовлення закладає незмінний код, який непрямо довіряється і перевіряється при кожному скиданні мікросхеми. Після чого чіп запускає самотестування, вбудоване в його пам'ять. Це відбувається кожен раз, коли він завантажується, щоб переконатися, що вся пам'ять, включаючи ROM, не була підроблена.

Наступним кроком є завантаження прошивки Titan . Незважаючи на те, що ця прошивка вбудована у флеш-пам'ять на чіпі, завантажувальний диск Titan не довіряє йому сліпо. Замість цього він перевіряє програмне забезпечення Titan за допомогою криптографії відкритого ключа і змішує ідентичність цього перевіреного коду в ієрархії ключів Titan. Нарешті, завантажувальний ROM завантажує перевірену прошивку.

Після того, як мікросхема Titan надійно завантажує власну прошивку, вміст завантажувальної прошивки хоста перевіряється за допомогою криптографії відкритого ключа. Хоча ця перевірка знаходиться в процесі, Titan може заблокувати доступ для PCH / BMC до завантажувальної прошивки. Тепер, коли процес остаточно завершиться, чіп посилає сигнал, щоб звільнити решту машини від скидання. Цей сигнал надає Google Cloud Platform інформацію про те, які завантажувальні мікропрограми та ОС завантажуються на їхній машині від самої першої інструкції. Google Cloud Platform також дізнається про виправлення мікрокоду, які можуть бути отримані перед першою інструкцією завантажувальної мікропрограми.

Нарешті, перевірена версією Google завантажувальна програма налаштовує машину і завантажує завантажувач . Це згодом перевіряє та завантажує операційну систему.

Чому необхідність чіпа безпеки Titan?

Оскільки більшість мережевих апаратних засобів і серверів були створені за кордоном, оператори центрів обробки даних, які працюють у Google Cloud Platform, були стурбовані можливістю хакерів національних держав або кіберзлочинців, які компрометують ці пристрої, перш ніж відправляти їх. Чип Google Titan вирішує ці проблеми завдяки постійним перевіркам, які забезпечують додаткову безпеку апаратних засобів для хмарних обчислень. Це дозволяє компанії підтримувати рівень розуміння в їхньому ланцюжку поставок, який вони інакше не мали б.

Інша причина, чому встановлення чіпа безпеки Titan на комп'ютерних серверах - це протидія новим прошивкам, які можуть бути спрямовані на перезаписувані мікропрограми. Вони можуть бути чипами BIOS або контролерами жорстких дисків.

Яким Чип Читан Безпеки Titan скористатися Google?

Є два основних способи, якими чіп безпеки Titan надає перевагу Google. По-перше, це точка зору безпеки, а друга - конкурентна точка зору.

З точки зору безпеки, чип Titan надає перевагу Google наступними способами:

  • Вона забезпечує апаратний корінь довіри, який встановлює сильну ідентичність машини. Це допомагає Google приймати важливі рішення щодо безпеки та перевіряти стан системи. Як наслідок, це забезпечує незворотний аудиторський слід будь-яких внесених змін.
  • Можливості входу в журнал виявляють дії, які виконують інсайдери з кореневим доступом.
  • Чіп забезпечує перевірку цілісності програмно-програмних компонентів.

З точки зору конкуренції, Google Cloud Platform наразі має 7% глобальної частки ринку хмар. Це робить її третьою, на зразок Amazon Web Services (AWS) (частка ринку 41%) і Microsoft Azure (13% частки ринку). З новим чипом Titan, Google прагне відірватися від своїх конкурентів і принести більше компаній, орієнтованих на безпеку, на свою платформу хмарних обчислень. Це важливий крок, оскільки, за даними Gartner, світовий ринок хмарних обчислень коштує майже 50 мільярдів доларів.

Внаслідок цього компанія Google розробила комплексну криптографічну систему ідентичності на основі Titan. Це також може слугувати коренем довіри для різноманітних криптографічних операцій у їхніх ЦОД.

Чи буде чип для безпеки Titan дійсно допомогти Google?

Хоча Google Cloud Platform в даний час відстає від своїх конкурентів, особливо AWS, чіп безпеки Titan дуже схожий на них. Завдяки вражаючим результатам тестування, все зводиться до того, чи чип допоможе Google Cloud Services виділятися в довгостроковій перспективі. Особисто мені дуже цікаво теж подивитися, як все вийде. Що про вас? Дозвольте мені знати свої думки з цього приводу в розділі коментарів нижче.

Top