Nogle af de bedste navne i hardwareindustrien er gået sammen om at skabe fælles teknologier for at forbedre sikkerheden i skyen.
Google, Nvidia, Microsoft og AMD gik sammen om at etablere Caliptra, en åben specifikation til at integrere sikkerhedsmekanismer i chips. Specifikationen, som er open source og gratis at licensere, blev annonceret tirsdag ved Open Compute Project Summit, der afholdes i Santa Clara, Californien. De deltagende virksomheder er medlemmer af Open Compute Project (OCP), som vil fastholde udviklingen af specifikationen sammen med Linux Foundation.
Caliptra-projektet drejer sig om at etablere en rod af tillid (RoT) — opbygning af sikkerhedslag i silicium, så data krypteres og ikke eksponeres, når de rejser i datacentre eller skyen.
"Vi er nødt til at indlejre den evne i silicium. På et tidspunkt i fremtiden vil det ikke være nok at have det på bundkortet, for eksempel i serveren som et separat kredsløb,” sagde Cliff Grossner, vicepræsident for market intelligence hos OCP, under en pressebriefing.
Caliptra udvider sikkerhedsgrænserne for data fra chipniveau til skyen. Specifikationen giver fælles sprog for chipproducenter og cloud-udbydere til at skabe teknologier omkring fortrolig computing, som får opmærksomhed som en måde at beskytte data på, mens de er på lager, i transit eller behandles i skyen.
"Med stigningen i edge computing giver den resulterende vækst i den blottede angrebsoverflade også et behov for stærkere fysiske sikkerhedsløsninger," skrev Mark Russinovich, Microsoft CTO for Azure, i en Tirsdag blogindlæg om Caliptra.
Definition af Open Source Confidential Computing
Sårbarheder som Spectre og Meltdown viste, at hackere kunne stjæle data ved at angribe hardware. Intel og AMD, hvis CPU'er dominerer datacentret og cloud-infrastrukturen, tilføjer proprietære funktioner til at låse data på chip-niveau, men Caliptra bliver præsenteret som et levedygtigt open source-alternativ.
Specifikationen definerer en genanvendelig siliciumblok, der kan falde ned i chips og enheder for at etablere en RoT. Siliciumblokken giver verificerbare kryptografiske forsikringer om, at chipsikkerhedskonfigurationen er korrekt. Det giver også en mekanisme i chippen for at sikre, at bootkoden kan stole på.
"Dette repræsenterer en forbedring i forhold til eksisterende løsninger i dag, og vi forventer, at dette vil opfylde de forbedrede sikkerhedskrav til edge og fortrolig databehandling fremover," sagde OCP's Grossner.
specifikation omfatter mekanismer til at beskytte data mod en række elektromagnetiske, sidekanal- og andre almindelige angreb. Men Caliptra dækker ikke nye angrebsvektorer som kvantecomputere, som vil give midlerne til crack avanceret kryptering på bare sekunder.
Caliptra-specifikationen dækker også vigtige aspekter af kursusbevis, hvilket mere er et håndtryk på chipniveau for at sikre, at kun autoriserede parter får adgang til data gemt i hardware-enklaver. RoT-blokkene i en chip isolerer dataene, mens de giver en effektiv mekanisme til at verificere ægtheden og integriteten af kode, firmware og andre sikkerhedsaktiver.
Sikring af Enterprise Cloud
Den første Caliptra-specifikation, version 0.5, kan fremstilles som prototype på feltprogrammerbare gate-arrays, før de implementeres i endelige chipdesign. Specifikationsdokumentet peger på, at teknologien er gearet til virksomhedens computerinfrastrukturer frem for hjemme- eller virksomheds-pc'er.
Caliptras principper, som omfatter autentificering, detektion og gendannelse, vipper kraftigt mod etablering af en silicium RoT til server- og edge-chips, som er bygget anderledes end pc-chips.
Microsoft bruger attestation baseret på Trusted Platform Module (TPM)-chips som en sikkerhedsmekanisme til Windows 10 og 11 operativsystemer. Virksomhedens Pluton sikkerhedschip, som har en TPM indbygget og kan bruges til attestering, er stort set blevet afvist af den bredere pc-industri.
Microsoft og Googles ledere sagde ikke, om eller hvornår de ville gøre Caliptra til en del af deres cloud-tjenester. Microsoft udvidede i sidste uge brugen af AMDs SNP-SEV-teknologi til fortrolig databehandling i skyen. Azure tilbyder også virtuelle maskine-instanser med Intels proprietære SGX-sikkerhedsenklave.
Udvidelse af Open Compute Project
Open Compute Project blev etableret i 2011 af folk som Google og Meta (dengang Facebook), som købte tusindvis af servere og søgte at standardisere hardwaredesign i deres megadatacentre. Målet var at reducere serverens byggetid og reducere omkostningerne ved at fjerne unødvendige komponenter.
OCP er siden vokset til et kraftcenter, der tæller alle større infrastruktur-hardwareudbydere som medlemmer - med undtagelse af Apple og Amazon, som er afhængige af internt designet hardware.
OCP-retningslinjer inkluderer også strøm-, køling-, lagrings- og netværksspecifikationer, som nu er bredt anvendt. OCP har også inspireret ikke-teknologiske virksomheder, hovedsageligt i den finansielle sektor, til at eksperimentere og udvikle standardiserede servere til lokale datacentre.
"Vi har brancheledere, der samles her inden for OCP-fællesskabet, og vi ønsker at bringe den standardiserede facilitetsarkitektur til installerede servere," sagde Grossner. "Serversikkerhed bliver skalerbar."
Servere var tidligere stort set afhængige af CPU'er, men inkluderer nu forskellige computerenheder såsom GPU'er til at håndtere applikationer som kunstig intelligens. Standardisering af serversikkerhedsarkitekturen var en topprioritet for virksomhedsledere, der adresserede medier under OCP-opkaldet.
"Dette økosystem, vi alle spiller i - det starter med tillid, du har ... i din computer. Vi var på vej til at have en række todelte løsninger, og det er bare ikke godt for nogen,” sagde Mark Papermaster, teknologichef hos AMD, under opkaldet.
