Diumumkan pada bulan Mac di Google Cloud Next '17, cip keselamatan Google Titan adalah blok bangunan lain dalam percubaan Google untuk memetik kelayakan keselamatannya dan mempersempit jurang dengan para pesaingnya - terutamanya AWS dan Microsoft Azure. Selepas menguji cip di pusat data mereka untuk beberapa ketika sekarang, Google baru-baru ini mengumumkan butiran teknikalnya. Jadi, jika anda telah melihat berita tentang cip keselamatan Titan Google dan bertanya-tanya apa yang berlaku. Nah, dalam artikel ini, saya akan meneliti cip keselamatan Google Titan, bagaimana ia berfungsi, dan segala yang perlu anda ketahui mengenainya.
Apakah Chip Keamanan Titan?
Dalam kata-kata yang paling mudah, Titan adalah cip keselamatan yang menghalang jenis serangan di mana pemerintan kerajaan memintas perkakasan dan memasukkan implan firmware . Pada masa ini, penyerang melakukan ini terutamanya dengan meneroka kelemahan firmware untuk mengatasi pertahanan sistem operasi dan memasang rootkit yang dapat bertahan walaupun setelah sistem operasi telah dipasang.
Titan adalah sebahagian daripada Platform Awan Google (GCP) yang direka, dibina dan dikendalikan dengan matlamat untuk melindungi kod dan data pelanggan. Cip ini adalah pengawal mikro yang berkuasa rendah, yang dibuat untuk memastikan sistem sentiasa boot dari keadaan baik yang terakhir diketahui. Cip itu adalah saiz anting - anting stud kecil dan telah dipasang di banyak pelayan komputer dan kad rangkaian yang mengisi pusat data besar-besaran Google.
Apabila cip itu mula-mula dilancarkan pada Mac tahun ini, Google merancang untuk menggunakan pemproses untuk memberi setiap pelayannya identiti individu. Sehingga hari ini, Google kini menggunakan cip keselamatan Titan untuk melindungi pelayan yang menjalankan perkhidmatan sendiri seperti Carian Google, Gmail, dan YouTube.
Apa Adakah Chip Keamanan Titan terdiri daripada?
Mesin di pusat data Google mempunyai beberapa komponen termasuk CPU, RAM, BMC, Pengawal Rangkaian Antara Muka (NIC), firmware boot, flash firmware boot, dan penyimpanan berterusan. Komponen-komponen ini berinteraksi satu sama lain secara sistematik untuk membaiki mesin. Untuk melindungi proses boot ini, Google menggunakan boot selamat yang bergantung pada gabungan firmware boot yang disahkan dan bootloader, bersama-sama dengan fail boot digital yang ditandatangani, untuk memberikan langkah-langkah keselamatan yang dikehendaki.
Titan adalah cip yang direka khas yang bukan sahaja memenuhi jangkaan ini tetapi juga menyediakan dua ciri keselamatan tambahan penting - pemulihan dan integriti arahan pertama. Cip itu berkomunikasi dengan CPU utama melalui bas SPI dan campur tangan antara flash firmware boot komponen seperti BMC atau PCH. Ini membolehkan ia mematuhi setiap byte firmware boot.
Untuk mencapai langkah keselamatan yang dijanjikan oleh Titan, ia terdiri daripada beberapa komponen . Beberapa yang penting disebutkan di bawah.
- Pemproses permohonan selamat
- Pemproses kriptografi
- Penjana nombor rawak perkakasan
- Hierarki utama yang canggih
- RAM statik tertanam (SRAM)
- Lampu kilat tertanam
- Satu blok ingatan baca sahaja
- Bas Antara Muka Serial (SPI)
- Pengawal Pengurusan Papan Basikal (BMC) atau Platform Pengawal Hab (PHC)
Bagaimana Kerja Cip Keamanan Titan?
Langkah pertama dalam kerja cip keselamatan Titan ialah pelaksanaan kod oleh pemprosesnya . Ini dilakukan sejurus selepas mesin tuan rumah dikuasakan. Kemudian proses fabrikasi meletakkan kod yang tidak berubah yang dipercayai secara tersirat dan disahkan pada setiap seting cip. Selepas itu, cip menjalankan ujian diri yang dibina dalam ingatannya. Ini berlaku setiap kali ia boot untuk memastikan bahawa semua memori, termasuk ROM, tidak diganggu.
Langkah seterusnya adalah untuk memuatkan firmware Titan . Walaupun firmware ini tertanam dalam memori flash di-cip, ROM boot Titan tidak mempercayainya secara membuta tuli. Sebaliknya, ia mengesahkan firmware Titan menggunakan kriptografi kunci awam dan mencampur identiti kod ini yang disahkan ke dalam hierarki utama Titan. Akhirnya, boot ROM memuatkan firmware yang disahkan.
Sebaik sahaja cip Titan meniup firmware sendiri dengan selamat, kandungan flash firmware boot tuan rumah kemudian disahkan menggunakan kriptografi kunci awam. Walaupun pengesahan ini sedang berjalan, Titan boleh memasuki akses untuk PCH / BMC ke flash firmware boot. Sekarang apabila proses akhirnya selesai, cip menghantar isyarat untuk melepaskan seluruh mesin dari semula. Isyarat ini menyediakan Platform Awan Google dengan maklumat mengenai firmware boot dan OS yang sedang di-boot pada mesin mereka dari arahan yang pertama. Platform Awan Google juga mempelajari mengenai patch mikro yang mungkin diambil sebelum arahan pertama firmware boot.
Akhirnya, firma firmware yang disahkan Google mengkonfigurasi mesin dan memuat pemuat but . Ini seterusnya mengesahkan dan memuatkan sistem operasi.
Kenapa Keperluan untuk Keselamatan Cip Titan?
Memandangkan kebanyakan perkakasan dan pelayan rangkaian dibuat di luar negara, pengendali pusat data yang bekerja untuk Google Cloud Platform bimbang tentang kemungkinan penggodam negara-negara atau penjenayah siber yang menjejaskan peranti ini sebelum menghantarnya. Cip Titan Google menangani kebimbangan ini melalui pemeriksaan berterusan yang memberikan keselamatan tambahan kepada perkakasan pengkomputeran awan. Ini membolehkan syarikat mengekalkan tahap pemahaman dalam rantaian bekalan mereka yang mereka tidak akan ada.
Satu lagi sebab mengapa memasang cip keselamatan Titan di pelayan komputer adalah serangan tegar perisian tegar baru yang boleh mensasarkan cip firmware yang boleh ditulis semula. Ini boleh menjadi cip BIOS atau pengawal cakera keras.
Bagaimanakah Manfaat Cip Keamanan Titan Google?
Terdapat dua cara utama di mana cip keselamatan Titan memberi manfaat kepada Google. Pertama adalah sudut pandangan keselamatan dan kedua adalah titik pandangan yang kompetitif.
Dari sudut pandangan keselamatan, cip Titan memberi manfaat kepada Google dalam tiga cara berikut:
- Ia menyediakan akar kepercayaan yang berasaskan perkakasan yang mewujudkan identiti yang kuat pada mesin. Ini membantu Google membuat keputusan keselamatan yang penting dan mengesahkan kesihatan sistem. Akibatnya, ini memastikan jejak audit yang tidak dapat dipulihkan sebarang perubahan yang dibuat.
- Keupayaan pembalakan yang jelas dapat membantu mengenal pasti tindakan yang dilakukan oleh orang dalam dengan akses root.
- Cip menawarkan pengesahan integriti komponen firmware dan perisian.
Dari perspektif persaingan, Platform Awan Google saat ini mempunyai pangsa pasar cloud 7% global. Ini menjadikannya ketiga kepada orang-orang seperti Amazon Web Services (AWS) (bahagian pasaran 41%) dan Microsoft Azure (13% bahagian pasaran). Dengan cip Titan yang baru, Google kini berusaha untuk menetapkan dirinya sendiri daripada pesaingnya dan membawa lebih banyak syarikat yang memberi fokus keselamatan ke platform pengkomputeran awannya. Ini adalah langkah penting kerana, menurut Gartner, pasaran pengkomputeran awan di seluruh dunia bernilai hampir $ 50 bilion.
Sebagai faedah yang terhasil, Google juga telah membangunkan sistem identiti kriptografi akhir-akhir yang berdasarkan Titan. Hal ini dapat bertindak sebagai akar kepercayaan untuk operasi kriptografi yang bervariasi di pusat data mereka.
Adakah Chip Keamanan Titan Really Bantu Google?
Walaupun Platform Awan Google kini berada di belakang pesaingnya, terutamanya AWS, cip keselamatan Titan berbunyi seperti banyak untuk mereka. Dengan hasil ujian yang mengagumkan, semua itu datang kepada sama ada cip itu akan membantu Google Cloud Services menonjol dari yang lain dalam jangka panjang. Secara peribadi, saya sangat berminat juga melihat bagaimana keadaan akan berubah. Bagaimana dengan awak? Tolong beritahu saya tentang pemikiran anda tentang perkara ini di bahagian komen di bawah.
