Márciusban bejelentve a Google Cloud Next '17-ben, a Google Titan biztonsági chip egy másik építőköve a Google azon kísérletének, hogy felgyorsítsa biztonsági adatait, és szűkítse meg a szakadékot a versenytársaival - elsősorban az AWS és a Microsoft Azure. Miután már régóta tesztelte a chipet az adatközpontjaikban, a Google nemrég bejelentette technikai részleteit. Tehát, ha már a Google Titan biztonsági chipjéről érkezett hírek, és azon tűnődtek, hogy mi a helyzet. Nos, ebben a cikkben elmondom, mi a Google Titan biztonsági chipje, hogyan működik, és minden mást, amit tudnod kell róla.
Mi a Titan Security Chip?
A legegyszerűbb szavakban a Titan egy olyan biztonsági chip, amely megakadályozza a támadások típusát, ahol a kormányzati kémek elfogják a hardvert és behelyezik a firmware-implantátumot . Jelenleg a támadók ezt főként a firmware-sebezhetőségek feltárásával végzik, hogy leküzdjék az operációs rendszer védelmeit és telepítsenek rootkiteket, amelyek az operációs rendszer újratelepítése után is fennállhatnak.
A Titan a Google Cloud Platform (GCP) része, amely az ügyfelek kódjának és adatainak védelmére tervezett, épített és üzemeltetett. A chip egy biztonságos, kis teljesítményű mikrovezérlő, amely úgy van kialakítva, hogy a rendszer mindig az utolsó ismert jó állapotból induljon el. A chip egy kis fülbevaló, és már telepítve van a számítógépes kiszolgálók és hálózati kártyák sokaságában, amelyek feltöltik a Google hatalmas adatközpontjait.
Amikor a chipet idén márciusban mutatta be először, a Google azt tervezte, hogy a processzort használja, hogy minden szerverének egyéni identitást adjon. Napjainkban a Google jelenleg a Titan biztonsági chipeket használja, hogy megvédje a saját szolgáltatásait futtató kiszolgálókat, mint a Google Search, a Gmail és a YouTube.
Mit tartalmaz a Titan Security Chip?
A Google adatközpontjaiban lévő gépek több összetevővel rendelkeznek, beleértve a CPU-kat, a RAM-ot, a BMC-t, a hálózati interfész-vezérlőt (NIC), a rendszerindító firmware-t, a rendszerindító firmware vakut és a tartós tárolást. Ezek az összetevők szisztematikusan kölcsönhatásba lépnek egymással a gépek indításához. A rendszer indítási folyamatának védelme érdekében a Google biztonságos rendszerindítást használ, amely a hitelesített rendszerindító firmware és a bootloader kombinációjával, valamint a digitálisan aláírt rendszerindító fájlokkal kombinálva biztosítja a kívánt biztonsági intézkedéseket.
A Titan egy speciálisan kialakított chip, amely nemcsak megfelel ezeknek az elvárásoknak, hanem két fontos további biztonsági tulajdonságot is biztosít: a helyreállítás és az első utasítások integritása. A chip kommunikál a fő CPU-val az SPI-buszon keresztül, és összekapcsolódik a BMC vagy PCH komponensek rendszerindító firmware flash-jével. Ez lehetővé teszi, hogy megfigyelje a boot firmware minden bájtját.
A Titan által ígért biztonsági intézkedések eléréséhez több összetevőből áll . A legfontosabbak közül néhányat az alábbiakban említünk.
- Biztonságos alkalmazás processzor
- Kriptográfiai társprocesszor
- Egy hardveres véletlenszám-generátor
- Egy kifinomult kulcshierarchia
- Beágyazott statikus RAM (SRAM)
- Beágyazott vaku
- Csak olvasható memóriablokk
- Soros perifériás interfész (SPI) busz
- Baseboard Management Controller (BMC) vagy platformvezérlő központ (PHC)
Hogyan működik a Titan Security Chip?
A Titan biztonsági chip működésének első lépése a processzorok által végrehajtott kód végrehajtása . Ezt közvetlenül a gazdagép bekapcsolása után végezzük. Ezután a gyártási folyamat egy változatlan kódot határoz meg, amelyet implicit módon bízunk meg és minden chip-resetnél érvényesítünk. Ezután a chip a saját memóriájába épített önellenőrzést végez. Ez minden alkalommal megtörténik, amikor meggyőződik arról, hogy az összes memóriát - beleértve a ROM-ot - nem módosították.
A következő lépés a Titan firmware betöltése . Annak ellenére, hogy ez a firmware be van ágyazva a chip flash memóriába, a Titan boot ROM nem bízik vakon. Ehelyett ellenőrzi a Titan firmware-jét a nyilvános kulcsú titkosítással, és összekeveri a hitelesített kód azonosságát a Titan kulcshierarchiájával. Végül a boot ROM betölti a hitelesített firmware-t.
Miután a Titan chip saját firmware-jét biztonságosan elindítja, a gazdagép boot firmware-jének tartalmát a nyilvános kulcsú titkosítással ellenőrizzük . Miközben ez a hitelesítés folyamatban van, a Titan be tudja kapcsolni a PCH / BMC hozzáférését a rendszerindító firmware vakuhoz. Most, amikor a folyamat végül befejeződik, a chip egy jelet küld, hogy a gép többi részét újraindítsa. Ez a jel biztosítja a Google Cloud Platformot azzal az információval, hogy a rendszerindító firmware és az operációs rendszer az első utasításból induljon-e a gépükön. A Google Cloud Platform megismeri a mikrokód javításokat is, amelyeket előzőleg a rendszerindító firmware első utasítása előtt kaptak.
Végül a Google által hitelesített boot firmware konfigurálja a gépet és betölti a rendszerbetöltőt . Ez később ellenőrzi és betölti az operációs rendszert.
Miért van szükség Titan Security Chipre?
Mivel a legtöbb hálózati hardvert és kiszolgálót külföldön gyártották, a Google Cloud Platformon dolgozó adatközpont-üzemeltetők aggódtak azzal kapcsolatban, hogy a nemzetállam-hackerek vagy számítógépes bűnözők veszélybe sodorhatják ezeket az eszközöket a szállítás előtt. A Google Titan chipje ezeket a problémákat folyamatosan ellenőrzi, amelyek további biztonságot nyújtanak a cloud computing hardver számára. Ez lehetővé teszi a vállalat számára, hogy az ellátási láncban megértsék a megértést, amit egyébként nem lenne.
Egy másik ok, amiért a Titan biztonsági chip telepítése a számítógépes kiszolgálókba az új firmware-támadások, amelyek újraírható firmware-chipeket célozhatnak. Ezek lehetnek BIOS chipek vagy merevlemez-vezérlők.
Hogyan működik a Titan Security Chip előnye a Google-nak?
Két elsődleges módja van a Titan biztonsági chip előnyeinek a Google számára. Először a biztonsági szempont, a második pedig a versenyképes szempont.
A biztonsági szempontból a Titan chip a következő három módon előnyös a Google számára:
- Olyan hardveralapú bizalmi gyökeret biztosít, amely egy gép erős identitását hozza létre. Ez segít a Google számára fontos biztonsági döntések meghozatalában és a rendszer egészségének érvényesítésében. Ennek eredményeként ez biztosítja az esetleges változtatások visszafordíthatatlan nyomvonalát.
- A szabotázs-nyilvánvaló naplózási képességek segítenek azonosítani a gyökér hozzáférésű bennfentesek által végrehajtott műveleteket.
- A chip a firmware és a szoftverösszetevők integritását ellenőrzi.
Versenyképes szempontból a Google Cloud Platform jelenleg 7% -os globális felhő piaci részesedéssel rendelkezik. Ez harmadik helyen áll az Amazon Web Services (AWS) (41% -os piaci részesedés) és a Microsoft Azure (13% -os piaci részesedés) kedvelőinek. Az új Titan chip használatával a Google arra törekszik, hogy elkülönüljön a versenytársaitól, és több biztonsági célú vállalatot hozzon létre a számítási felhő platformjára. Ez fontos lépés, mivel a Gartner szerint a világméretű felhőalapú számítástechnikai piac közel 50 milliárd dollárt ér.
Ennek eredményeképpen a Google kifejlesztett egy Titan alapú, end-to-end kriptográfiai azonosító rendszert . Ez az adatközpontokban a változatos kriptográfiai műveletekre vonatkozó bizalom gyökerének is szolgálhat.
A Titan Security Chip valóban segít a Google-nak?
Míg a Google Cloud Platform jelenleg elmarad a versenytársaitól, különösen az AWS-től, a Titan biztonsági chip a számukra nagyon sokat hangzik. A lenyűgöző vizsgálati eredményekkel mindez arra utal, hogy a chip segít-e a Google Cloud Services számára, hogy hosszabb távon kiemelkedjen a többiektől. Személy szerint én is nagyon érdekel, hogy a dolgok kiderüljenek. Mi van veled? Hadd tudjam meg a gondolatait erről az alábbi megjegyzések részben.
