A hardveripar néhány vezető neve összefogott, hogy közös technológiákat hozzanak létre a felhő biztonságának fokozása érdekében.
A Google, az Nvidia, a Microsoft és az AMD együttműködve létrehozta a Caliptra-t, egy nyílt specifikációt, amellyel biztonsági mechanizmusokat ágyazhat be a chipekbe. A nyílt forráskódú és ingyenesen licencelhető specifikációt kedden jelentették be a kaliforniai Santa Clarában tartott Open Compute Project Summit rendezvényen. A résztvevő cégek az Open Compute Project (OCP) tagjai, amely a fejlesztést fenntartja. a specifikációt, valamint a Linux Foundationt.
A Caliptra projekt az a a bizalom gyökere (RoT) – biztonsági rétegek szilíciumba építése, hogy az adatok titkosítva legyenek, és ne kerüljenek nyilvánosságra, miközben az adatközpontokban vagy a felhőben haladnak.
„Ezt a képességet szilíciumba kell ágyaznunk. A jövőben valamikor nem lesz elég az alaplapon, például a szerverben külön áramkörként” – mondta Cliff Grossner, az OCP piaci intelligencia részlegének alelnöke egy sajtótájékoztatón.
A Caliptra kiterjeszti az adatok biztonsági határait a chip szintjétől a felhőig. A specifikáció közös nyelvet biztosít a chipgyártók és a felhőszolgáltatók számára a technológiák létrehozásához bizalmas számítástechnika, amely egyre nagyobb figyelmet kap az adatok védelmének egyik módja a tárolás, szállítás vagy a felhőben való feldolgozás során.
„Az éles számítástechnika térnyerésével a kitett támadási felület ebből eredő növekedése erősebb fizikai biztonsági megoldások iránti igényt is jelent” – írta Mark Russinovich, az Azure Microsoft műszaki igazgatója. Keddi blogbejegyzés Caliptráról.
A nyílt forráskódú bizalmas számítástechnika meghatározása
Az olyan biztonsági rések, mint a Spectre és a Meltdown, azt mutatták, hogy a hackerek hardvert támadva adatokat lophatnak. Az Intel és az AMD, amelyek CPU-i uralják az adatközpontokat és a felhő-infrastruktúrát, saját fejlesztésű funkciókat adnak hozzá az adatok chipszinten történő zárolásához, de a Caliptra életképes nyílt forráskódú alternatívaként szerepel.
A specifikáció egy újrafelhasználható szilíciumblokkot határoz meg, amelyet chipekbe és eszközökbe lehet dobni, hogy RoT-t hozzon létre. A szilícium blokk ellenőrizhető kriptográfiai biztosítékot nyújt a chip biztonsági konfigurációjának helyességére. A chipen belül egy olyan mechanizmust is biztosít, amely biztosítja, hogy a rendszerindító kód megbízható legyen.
"Ez továbblépést jelent a jelenlegi megoldásokhoz képest, és arra számítunk, hogy ez a jövőben teljesíteni fogja az éles és bizalmas számítástechnika fokozott biztonsági követelményeit" - mondta Grossner, az OCP-től.
A leírás olyan mechanizmusokat tartalmaz, amelyek megvédik az adatokat számos elektromágneses, oldalcsatornás és egyéb gyakori támadástól. A Caliptra azonban nem fedi le a feltörekvő támadási vektorokat, például a kvantumszámítógépeket, amelyek biztosítják a feltörni a fejlett titkosítást pillanatok alatt.
A Caliptra specifikáció a legfontosabb szempontokat is lefedi hitelesítés, ami inkább egy chip szintű kézfogás annak biztosítására, hogy csak az arra jogosult felek férhessenek hozzá a hardveres enklávékban tárolt adatokhoz. A chipben lévő RoT blokkok elkülönítik az adatokat, miközben hatékony mechanizmust biztosítanak a kód, a firmware és egyéb biztonsági eszközök hitelességének és integritásának ellenőrzésére.
Az Enterprise Cloud biztonságossá tétele
Az első Caliptra specifikáció, a 0.5-ös verzió prototípusa terepen programozható kaputömbökön készíthető, mielőtt végleges chiptervekbe építené be. A specifikációs dokumentum rámutat arra, hogy a technológiát inkább a vállalati számítástechnikai infrastruktúrákra tervezték, nem pedig otthoni vagy üzleti számítógépekre.
A Caliptra alapelvei, amelyek magukban foglalják a hitelesítést, az észlelést és a helyreállítást, erősen a szilícium RoT kialakítása felé hajlanak a szerver- és peremchipekhez, amelyek a PC-chipektől eltérően épülnek fel.
A Microsoft a Trusted Platform Module (TPM) chipeken alapuló tanúsítást használja, mint a biztonsági mechanizmus a Windows 10 és 11 rendszerhez operációs rendszer. A cégé Pluton biztonsági chipA beépített TPM-mel rendelkező és tanúsításra is használható, a PC-ipar szélesebb köre nagyrészt elutasította.
A Microsoft és a Google vezetői nem mondták el, hogy a Caliptrát felhőszolgáltatásaik részévé teszik-e, és mikor. A Microsoft a múlt héten kiterjesztette az AMD SNP-SEV technológiájának használatát bizalmas számítástechnika a felhőben. Az Azure virtuálisgép-példányokat is kínál az Intel saját SGX biztonsági enklávéjával.
Az Open Compute Project kiterjesztése
Az Open Compute Project-et 2011-ben hozták létre olyanok, mint a Google és a Meta (akkor a Facebook), amelyek szerverek ezreit vásárolták meg, és megaadatközpontjaik hardverterveit akarták szabványosítani. A cél az volt, hogy csökkentsék a szerver felépítési idejét és csökkentsék a költségeket a szükségtelen alkatrészek eltávolításával.
Az OCP azóta egy olyan erőművé nőtte ki magát, amely minden nagyobb infrastruktúra-hardver-szolgáltatót tagnak számít – az Apple és az Amazon kivételével, amelyek belsőleg tervezett hardverekre támaszkodnak.
Az OCP-irányelvek az energiaellátásra, a hűtésre, a tárolásra és a hálózatra vonatkozó előírásokat is tartalmazzák, amelyeket ma már széles körben alkalmaznak. Az OCP arra is ösztönözte a nem technológiai vállalatokat, főként a pénzügyi szektorban, hogy kísérletezzenek és szabványosított szervereket fejlesszenek ki a helyszíni adatközpontokhoz.
„Az iparág vezetői itt találkoznak az OCP közösségen belül, és szeretnénk a szabványosított létesítményarchitektúrát hozni a telepített szerverekhez” – mondta Grossner. "A szerverbiztonság méretezhetővé válik."
A szerverek korábban nagymértékben a CPU-któl függtek, de ma már tartalmaznak különböző számítástechnikai eszközöket, például GPU-kat az olyan alkalmazások kezelésére, mint a mesterséges intelligencia. A kiszolgáló biztonsági architektúrájának szabványosítása kiemelt fontosságú volt a vállalati vezetők számára, akik az OCP hívás során adathordozót címeztek.
„Ez az ökoszisztéma, amelyben mindannyian játszunk – a számítástechnika iránti bizalommal kezdődik. Azon az úton jártunk, hogy több kettéosztott megoldásunk legyen, és ez senkinek sem jó” – mondta Mark Papermaster, az AMD technológiai igazgatója a hívás során.