Рекомендуем, 2024

Выбор редакции

Что такое Google Titan Security Chip и как он работает?

Анонсированный в марте в Google Cloud Next '17, чип безопасности Google Titan является еще одним строительным блоком в попытке Google расширить свои полномочия в области безопасности и сократить разрыв с конкурентами - прежде всего AWS и Microsoft Azure. После тестирования чипа в их центрах обработки данных в течение долгого времени, Google недавно объявил о своих технических деталях. Итак, если вы сталкивались с новостями о чипе безопасности Google Titan и задались вопросом, что это такое. Ну, в этой статье я расскажу, что такое чип безопасности Google Titan, как он работает и все остальное, что вам нужно знать о нем.

Что такое чип безопасности Titan?

Проще говоря, Titan - это микросхема безопасности, которая предотвращает атаки, когда правительственные шпионы перехватывают аппаратное обеспечение и вставляют имплантат прошивки . В настоящее время злоумышленники делают это главным образом, исследуя уязвимости встроенного программного обеспечения, чтобы преодолеть защиту операционной системы, и устанавливая руткиты, которые могут сохраняться даже после переустановки операционной системы.

Titan является частью Google Cloud Platform (GCP), которая разработана, построена и работает с целью защиты кода и данных клиентов. Чип представляет собой безопасный микроконтроллер с низким энергопотреблением, созданный для того, чтобы системы всегда загружались из последнего известного исправного состояния. Микросхема имеет размер небольшой серьги-гвоздики и уже установлена ​​на многих компьютерных серверах и сетевых картах, которые заполняют массивные центры обработки данных Google.

Когда чип впервые был представлен в марте этого года, Google планировал использовать процессор, чтобы дать каждому из своих серверов индивидуальную идентификацию. На сегодняшний день Google использует микросхемы безопасности Titan для защиты серверов, на которых работают собственные службы, такие как Google Search, Gmail и YouTube.

Из чего состоит чип безопасности Titan?

Машины в центрах обработки данных Google имеют несколько компонентов, включая ЦП, ОЗУ, BMC, контроллер сетевого интерфейса (NIC), загрузочную прошивку, загрузочную прошивку и постоянное хранилище. Эти компоненты взаимодействуют друг с другом систематически, чтобы загрузить машины. Чтобы защитить этот процесс загрузки, Google использует безопасную загрузку, которая использует комбинацию аутентифицированной прошивки загрузки и загрузчика вместе с файлами загрузки с цифровой подписью для обеспечения желаемых мер безопасности.

Titan - это специально разработанный чип, который не только отвечает этим ожиданиям, но и обеспечивает два важных дополнительных свойства безопасности - исправление и целостность первой инструкции. Микросхема обменивается данными с основным процессором через шину SPI и размещает флэш-память при загрузке таких компонентов, как BMC или PCH. Это позволяет ему наблюдать каждый байт загрузочной прошивки.

Для достижения мер безопасности, которые обещает Titan, он состоит из нескольких компонентов . Некоторые из существенных упомянуты ниже.

  • Безопасный процессор приложений
  • Криптографический сопроцессор
  • Аппаратный генератор случайных чисел
  • Сложная иерархия ключей
  • Встроенное статическое ОЗУ (SRAM)
  • Встроенная вспышка
  • Блок памяти только для чтения
  • Шина последовательного периферийного интерфейса (SPI)
  • Контроллер управления основной платой (BMC) или концентратор контроллера платформы (PHC)

Как работает чип безопасности Titan?

Первым шагом в работе чипа безопасности Titan является выполнение кода его процессорами . Это делается сразу после включения хост-машины. Затем процесс изготовления устанавливает неизменный код, которому неявно доверяют, и который проверяется при каждом сбросе микросхемы. После этого чип запускает самопроверку, встроенную в его память. Это происходит каждый раз при загрузке, чтобы гарантировать, что вся память, включая ПЗУ, не была взломана.

Следующим шагом является загрузка прошивки Titan . Несмотря на то, что эта прошивка встроена во встроенную флэш-память, загрузочное ПЗУ Titan не доверяет ей вслепую. Вместо этого он проверяет прошивку Titan с помощью криптографии с открытым ключом и смешивает идентичность этого проверенного кода с иерархией ключей Titan. Наконец, загрузочный диск загружает проверенную прошивку.

Как только чип Titan загрузит свою собственную прошивку, содержимое флэш-прошивки хоста будет проверено с использованием криптографии с открытым ключом. Пока эта проверка выполняется, Titan может предоставить доступ PCH / BMC к флэш-памяти загрузочной прошивки. Теперь, когда процесс, наконец, завершается, чип посылает сигнал, чтобы освободить остальную часть машины от перезагрузки. Этот сигнал предоставляет Google Cloud Platform информацию о том, какие загрузочные прошивки и ОС загружаются на их компьютере с самой первой инструкции. Google Cloud Platform также узнает о исправлениях микрокода, которые могли быть получены до первой инструкции по загрузке прошивки.

Наконец, проверенная Google прошивка загрузчика настраивает компьютер и загружает загрузчик . Это впоследствии проверяет и загружает операционную систему.

Зачем нужен чип безопасности Titan?

Поскольку большинство сетевого оборудования и серверов были изготовлены за рубежом, операторы центров обработки данных, работающие на Google Cloud Platform, были обеспокоены возможностью того, что хакеры или киберпреступники национализируют эти устройства перед их отправкой. Чип Google Titan решает эти проблемы посредством своих постоянных проверок, которые обеспечивают дополнительную безопасность аппаратному обеспечению облачных вычислений. Это позволяет компании поддерживать уровень понимания в своей цепочке поставок, которого у них не было бы в противном случае.

Еще одна причина, по которой установка микросхемы безопасности Titan на компьютерные серверы заключается в противодействии новым атакам микропрограмм, которые могут быть направлены на перезаписываемые микропрограммы микропрограмм. Это могут быть микросхемы BIOS или контроллеры жестких дисков.

Какую пользу может принести чип безопасности Titan Google?

Существует два основных способа, которыми чип безопасности Titan приносит пользу Google. Во-первых, это точка зрения безопасности, а во-вторых, это конкурентная точка зрения.

С точки зрения безопасности, чип Titan выгоден Google следующими тремя способами:

  • Это обеспечивает основанный на аппаратном обеспечении корень доверия, который устанавливает строгую идентичность машины. Это помогает Google принимать важные решения по безопасности и проверять работоспособность системы. В результате это обеспечивает необратимый аудит любых изменений.
  • Возможность несанкционированного доступа к журналу помогает идентифицировать действия, выполняемые инсайдером с правами root.
  • Чип предлагает проверку целостности микропрограммного и программного обеспечения.

С точки зрения конкуренции Google Cloud Platform в настоящее время занимает 7% мирового рынка облачных вычислений. Это делает его на третьем месте по сравнению с аналогами Amazon Web Services (AWS) (41% рынка) и Microsoft Azure (13% рынка). С новым чипом Titan Google стремится выделиться среди своих конкурентов и привлечь больше ориентированных на безопасность компаний на свою платформу облачных вычислений. Это важный шаг, так как, по данным Gartner, мировой рынок облачных вычислений стоит почти 50 миллиардов долларов.

В качестве последующего преимущества Google также разработала комплексную систему криптографической идентификации на основе Titan. Это может также служить корнем доверия для различных криптографических операций в их центрах обработки данных.

Действительно ли чип безопасности Titan поможет Google?

В то время как Google Cloud Platform в настоящее время отстает от своих конкурентов, особенно от AWS, чип безопасности Titan кажется для них отличным решением. Благодаря впечатляющим результатам испытаний все сводится к тому, поможет ли этот чип облачным сервисам Google выделиться на фоне других в долгосрочной перспективе. Лично мне очень интересно тоже посмотреть, как все сложится. Как насчет вас? Дайте мне знать ваши мысли по этому поводу в разделе комментариев ниже.

Top