本文分析了服务器底层安全威胁升级,重点介绍了GoogleOpenTitan安全芯片如何通过物理可信根、首指令完整性校验等手段保障启动安全。文章探讨了现有的防护策略,强调了OpenTitan开源的重要性和未来可能的发展方向。
业界很多终端厂商各有一套玩法,不过也或多或少相似,但是因为这个是竞争力也安全性,所以开源的资料比较少,之前更新的关于AES、OTPC、TRNG等设计的文章也是来自于OpenTitan。感兴趣的从业者以及在校生,从事安全相关的可以了解一下。
‘
作者:[ Tencent Blade Team ] Yao
导语
从Windows 98的CIH病毒,到2011年的BMW木马,再到2018年的APT-28攻击,底层安全威胁此起彼伏。
企业信息基础设施是否值得信任,已成为服务提供商需要回应的关键问题。
今年11月Google OpenTitan项目正式发布,平台可信启动问题成为业内关注焦点。
本文将解读Titan安全芯片的基本原理,并针对现阶段服务器硬件安全防护体系的建设思路和大家做一下简单探讨。
1.不断升级的攻防博弈
对于服务器平台的底层攻击,大多集中在对固件(Firmware)内容的非法修改上。
早期的Legacy BIOS木马,以破坏机器的可用性为主要目标,如CIH病毒,可以直接清空BIOS导致无法正常开机。
其他的固件木马,通过感染个人电脑的主/卷引导目录(MBR/VBR),实现持久化驻留的目的,使终端用户叫苦不迭。
随着技术演变,Legacy BIOS逐步被UEFI(服务器启动的新规范)替代,硬件木马也被更多地应用到高级入侵与渗透之中(如APT-28 LoJax木马)。
与之前被黑产利用,存在明显异常行为的特征不同,固件入侵威胁变得更隐蔽、更顽固,例如针对特定企业的供应链攻击、针对特定机器的恶意女仆攻击(基于物理接触,如通过U盘植入木马)、利用启动管理命令实现启动路径修改攻击(如efibootmgr指令)等——这些恶意向量不再局限于OS层的渗透范畴,因此可以有效地绕过常规监控策略。
硬件安全风险带来了信任的危机,尤其是大型企业,影响更加广泛。在企业内部,数据中心基础设施是否安全可靠?在企业外部,是否可以让云平台得到所服务用户的信任?
很多企业APP都有自己的内部软件,保存公司信息。
妥善解决上述问题的一种策略是,充分利用现有的安全防护技术,如IDS、IPS、WAF,布下天罗地网——可是这些方式即便发现异常,也很难准确地定位风险来源,无法彻底排除隐患;
另一种方式是通过可信执行环境(TEE),如Intel SGX技术,以内存加密的方式构建应用程序独享的可信执行区域,将一部分机密的数据和代码隔离起来做机密计算。
但这种方式实际上并没有缓解机器被攻陷的风险,偏安一隅的思路能够暂时保障数据安全,但无法保护平台本身不被入侵。
2.防御方法与业内标杆
那保障平台安全的有效方案是什么样的呢?一种可行策略是,构建无法被篡改的信任根(RoT,Root of Trust),对于平台启动过程中所需执行的固件对象,在其执行前,依次进行合法性验证与信任链条的扩展。
在所有固件对象完成校验后,平台执行操作系统的启动,这样一来,系统最终进入可被信任的Runtime状态。
这个方法听上去简单直接,但操作起来又是另一番情景——图1给出了NIST标准下服务器架构所包含的组成对象,在操作系统层之下,存在十几种硬件固件对象,如:
- UEFI BIOS:
最低0.47元/天 解锁文章
扫一扫
8608
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
