Varnostni čip Google Titan, ki je bil objavljen marca v storitvi Google Cloud Next '17, je še en gradnik Googlovega poskusa, da bi povečal varnostne poverilnice in zmanjšal vrzel s svojimi konkurenti - predvsem AWS in Microsoft Azure. Po preizkušanju čipa v svojih podatkovnih centrih že nekaj časa, je Google nedavno napovedal svoje tehnične podrobnosti. Torej, če ste prišli preko novic o varnostnem čipu Google Titan in se sprašujete, kaj je to. No, v tem članku, bom šel čez, kaj je varnostni čip Google Titan, kako deluje, in vse ostalo, kar morate vedeti o tem.
Kaj je Titan Security Chip?
V najenostavnejših besedah je Titan varnostni čip, ki preprečuje vrsto napadov, v katerih vladni vohuni prestrežejo strojno opremo in vstavijo vdelano programsko opremo . Trenutno napadalci to počnejo predvsem z raziskovanjem ranljivosti programske opreme za premagovanje obrambe operacijskega sistema in nameščanjem rootkitov, ki lahko trajajo tudi po ponovni namestitvi operacijskega sistema.
Titan je del Googlove platforme za oblake (GCP), ki je zasnovana, zgrajena in deluje z namenom zaščititi kodo in podatke strank. Čip je varen, mikro-krmilnik z nizko porabo, ki je ustvarjen tako, da zagotavlja, da se sistemi vedno zaganjajo od zadnjega znanega dobrega stanja. Čip je velik kot majhna uhan in je že nameščen v številnih računalniških strežnikih in omrežnih karticah, ki naselijo ogromne podatkovne centre v Googlu.
Ko je bil čip prvič predstavljen marca letos, je Google načrtoval uporabo procesorja, da bi vsakemu od svojih strežnikov dal individualno identiteto. Danes Google uporablja varnostne čipe Titan za zaščito strežnikov, ki uporabljajo svoje storitve, kot so Google Search, Gmail in YouTube.
Kaj predstavlja Titan varnostni čip?
Stroji v Googlovih podatkovnih centrih imajo več komponent, vključno s CPU-ji, RAM-om, BMC-jem, omrežnim krmilnikom vmesnika (NIC), zagonsko programsko opremo, zaganjalno programsko opremo in trajnim pomnilnikom. Te komponente se med seboj sistematično medsebojno povezujejo za zagon strojev. Da bi zaščitil ta zagonski proces, Google uporablja varni zagon, ki temelji na kombinaciji overjene zagonske programske opreme in zagonskega programa, skupaj z digitalno podpisanimi zagonskimi datotekami, da zagotovi želene varnostne ukrepe.
Titan je posebej zasnovan čip, ki ne izpolnjuje samo teh pričakovanj, temveč nudi tudi dve pomembni dodatni varnostni lastnosti - sanacijo in celovitost prvega navodila. Čip komunicira z glavno CPU preko SPI vodila in med bliskavico zagonske programske opreme interakcijo komponent BMC ali PCH. To omogoča opazovanje vsakega bajta zagonske programske opreme.
Da bi dosegli varnostne ukrepe, ki jih obljublja Titan, sestavlja več komponent . Nekatere od najpomembnejših so navedene spodaj.
- Varni procesor aplikacij
- Kriptografski soustvarjalec
- Generator strojnih naključnih števil
- Zahtevna hierarhija ključev
- Vgrajeni statični pomnilnik (SRAM)
- Vgrajena bliskavica
- Blok pomnilnika samo za branje
- Vodilo SPI (Serial Peripheral Interface)
- Upravljalnik krmilne plošče (BMC) ali Hub krmilnika platforme (PHC)
Kako deluje Titan Security Chip?
Prvi korak pri delovanju varnostnega čipa Titan je izvajanje kode s strani procesorjev . To se izvede takoj, ko je gostiteljski stroj vklopljen. Potem postopek izdelave določa nespremenljivo kodo, ki je implicitno zaupanja vredna in je potrjena pri vsakem resetiranju čipa. Nato čip zažene samopreizkus, ki je vgrajen v njegov spomin. To se zgodi vsakič, ko se zažene, da se zagotovi, da ni v celoti spremenjen pomnilnik, vključno z ROM-om.
Naslednji korak je nalaganje Titanove firmware . Čeprav je ta vdelana programska oprema vgrajena v bliskovni pomnilnik na čipu, zagonski ROM Titan ne verjame v slepo. Namesto tega preverja strojno programsko opremo Titana z uporabo kriptografije javnega ključa in zamejuje identiteto te preverjene kode v hierarhiji ključev Titana. Končno zagonski ROM naloži preverjeno vdelano programsko opremo.
Ko Titan čip varno zažene lastno strojno programsko opremo, se vsebina zagonske programske opreme gostitelja potrdi s kriptografijo javnega ključa. Medtem ko je to preverjanje v postopku, lahko Titan preklopi dostop za PCH / BMC na zagonsko programsko opremo. Zdaj, ko se proces končno konča, čip pošlje signal za sprostitev preostalega stroja iz ponastavitve. Ta signal Googlovi platformi za oblake zagotavlja informacije o tem, katero zagonsko programsko opremo in OS se zaganjajo na njihovem računalniku od prvega navodila. Googlova platforma za oblake se seznani tudi s popravki mikrokodov, ki so bili morda preneseni pred prvim navodilom za zagonsko programsko opremo.
Nazadnje, Googlova preverjena zagonska programska oprema konfigurira stroj in naloži zagonski nalagalnik . To naknadno preveri in naloži operacijski sistem.
Zakaj potrebujete varnostni čip Titan?
Ker je bila večina omrežne strojne opreme in strežnikov narejena v tujini, so operaterji podatkovnih centrov, ki delajo za platformo Google Cloud, zaskrbljeni zaradi možnosti, da bi hekerji na nacionalni ravni ali kibernetski kriminalci ogrozili te naprave, preden jih pošljejo. Googlov čip Titan naslavlja te pomisleke s stalnimi preverjanji, ki zagotavljajo dodatno varnost strojne opreme za računalništvo v oblaku. To omogoča podjetju, da ohrani raven razumevanja v svoji dobavni verigi, ki je sicer ne bi imeli.
Še en razlog, zakaj nameščanje varnostnega čipa Titan v računalniške strežnike je boj proti novim napadom strojne programske opreme, ki lahko ciljajo na ponovno pisanje čipov strojne programske opreme. To so lahko čipi BIOS-a ali krmilniki trdega diska.
Kako koristi Titan varnostni čip Google?
Obstajata dva glavna načina, na katera Titan varnostni čip koristi Googlu. Prvi je varnostni vidik, drugi pa konkurenčno stališče.
Z vidika varnosti je čip Titan koristen Googlu na naslednje tri načine:
- Zagotavlja koren zaupanja, ki temelji na strojni opremi in vzpostavlja močno identiteto stroja. To pomaga Googlu, da sprejme pomembne varnostne odločitve in potrdi zdravje sistema. Zaradi tega je zagotovljena nepovratna revizijska sled vseh sprememb.
- Možnosti zapisovanja, ki so očitne pri odkrivanju, pomagajo pri prepoznavanju dejanj, ki jih izvede notranji dostop s korenskim dostopom.
- Čip ponuja preverjanje celovitosti strojno-programske opreme in komponent programske opreme.
S konkurenčnega vidika ima Google Cloud Platform trenutno 7-odstotni svetovni tržni delež v oblaku. Zaradi tega je tretji kot Amazon Web Services (AWS) (41% tržni delež) in Microsoft Azure (13% tržni delež). Z novim Titanovim čipom si Google želi ločiti od svojih konkurentov in v platformo za računalništvo v oblaku prinašati več podjetij, ki so usmerjena v varnost. To je pomemben korak, saj je po mnenju Gartnerja svetovni trg računalništva v oblaku vreden skoraj 50 milijard dolarjev.
Kot posledico tega je tudi Google razvil kriptografski identitetni sistem, ki temelji na Titanu. To lahko še naprej deluje kot koren zaupanja za različne kriptografske operacije v njihovih podatkovnih centrih.
Bo Titan varnostni čip res pomagal Googlu?
Čeprav Google Cloud Platform trenutno zaostaja za svojimi konkurenti, še posebej AWS, varnostni čip Titan zveni kot veliko za njih. S svojimi impresivnimi rezultati testov je vse odvisno od tega, ali bo čip pomagal Googlovim storitvam v oblaku dolgoročno izstopati od drugih. Osebno me zelo zanima tudi, kako se bodo stvari končale. Kaj pa ti? Ali mi sporočite svoje misli o tem v oddelku za komentarje spodaj.