保護檢測和恢復——如何讓系統具備網絡彈性
加入技術交流群
萊迪思最近與合作伙伴AMI聯合舉辦了一場安全研討會,主要探討了計算和數據中心應用中的固件和供應鏈保護等網絡安全話題。
近些年來,隨著網絡攻擊愈加快速精準、唯利是圖,全球供應鏈環境也越來越脆弱。人們熟知的最為常見的安全威脅就是勒索軟件攻擊,即封鎖企業的系統,直到他們支付一定數額的贖金為止。根據2021年IBM Cyber Resilient Organization的研究,61%的受訪者曾遭受勒索軟件攻擊并支付贖金。這表明公司不僅要具備網絡安全機制,還要有網絡保護恢復能力,才能在發生攻擊時快速應對。
網絡安全為網絡保護恢復的實現提供了基礎。平臺固件保護恢復(PFR)是網絡保護恢復在計算領域的一種特定形態。也就是說PFR是計算系統在遭受攻擊時賴以保護自身以及維持自身正常運轉的一種機制。
此次研討會著重探討了NIST 800-193 PFR規范和可信計算工作組的網絡恢復技術指南(CyRes)等新興安全標準如何影響系統保護解決方案的開發。歸根結底,這些標準提出了系統要具備網絡保護恢復機制的三個關鍵功能:保護、檢測和恢復。如下圖所示,這些功能相互配合,在網絡攻擊的各個階段保障系統安全。
大多數組織都知道需要為所有的關鍵固件提供強有力的保護,但是很多情況下卻忽略了檢測和恢復功能。由于系統中存在大量容易突破的固件組件,因此需要通過多個通道對它們進行動態的監控,同時還要能夠在出現威脅時快速響應。萊迪思SentryTM作為一款即用型PFR解決方案可實現實時動態的監控功能。其他主要基于微控制器的解決方案缺乏這種實時的監控功能,且由于響應時間只有微秒級別,其安全性也有所不足。
這三大功能是網絡保護恢復/PFR的核心所在,此外還需要強大的硬件可信根(HRoT)來確保這些功能正常運行,讓系統在最初就具備可信度。萊迪思MachXO3D?和Mach?-NX系列FPGA均為符合CyRes標準的硬件可信根。它們包括了專用的硬核安全引擎,可以通過唯一的不可更改的ID進行驗證和測試。
本次研討會還探討了萊迪思SupplyGuard?服務如何利用鎖定密鑰和保護碼,在供應鏈的各個階段減少勒索軟件的“攻擊面”,從而為低價值的攻擊載體提供與高價值攻擊載體同樣級別的連續的安全保障。
萊迪思的生態系統合作伙伴AMI展示了“AMI的平臺可信根解決方案:Tektagon? XFR”,這是一款與萊迪思聯合開發的無CPU主機芯片解決方案。
AMI強調,日益復雜的網絡威脅態勢要求系統滿足PFR標準,并介紹了Tektagon XFR如何提供連續的運行時監控功能以保護平臺安全。
作為與萊迪思合作推出的解決方案,Tektagon XFR使用萊迪思FPGA實現獨立的HRoT,為客戶帶來最大程度的設計靈活性。單獨來看,萊迪思Sentry解決方案和AMI Tektagon XFR都能夠實現PFR。但是,如果客戶只使用Sentry解決方案,他們需要自行定制固件、基板管理控制器(BMC)固件和定制BIOS。如果他們只有AMI的Tektagon XFR,則需要自己做定制邏輯。而作為聯合解決方案,其整體設計可實現先進的PFR功能和極高的靈活性,減輕繁重的設計負擔,有助于縮短上市時間,并提供全面的安全特性,最好地滿足客戶平臺設計的需求。
Tektagon XFR的其他主要特性包括恢復鏡像的安全固件更新和DC-SCM模塊實現功能。服務器的主板設計越來越傾向于采用DC-SCM來取代傳統的單塊主板設計,從而讓CPU/存儲器和安全控制解決方案實現獨立的開發和創新。
評論