Annonsert i mars ved Google Cloud Next '17, er Google Titan-sikkerhetsbrikken en annen byggestein i Googles forsøk på å slå opp sikkerhetsinformasjonen og begrense gapet med sine konkurrenter - først og fremst AWS og Microsoft Azure. Etter å ha testet brikken i datasentrene for en stund nå, annonserte Google nylig sine tekniske detaljer. Så, hvis du har kommet over nyheter om Googles Titan-sikkerhetsbrikke og lurer på hva som handler om. Vel, i denne artikkelen vil jeg gå over hva Google Titan-sikkerhetsbrikken er, hvordan fungerer det, og alt annet du trenger å vite om det.
Hva er Titan Security Chip?
I det enkleste av ord er Titan en sikkerhetsbrikke som forhindrer typen angrep der regjeringsspionere avskjærer maskinvare og setter inn et fastvareimplantat . Foreløpig gjør angriperne dette hovedsakelig ved å undersøke sikkerhetsproblemer for å overvinne operativsystemsvar og installere rootkits som kan fortsette selv etter at operativsystemet er installert på nytt.
Titan er en del av Google Cloud Platform (GCP) som er designet, bygget og operert med det formål å beskytte kundens kode og data. Chippen er en sikker, lav-effekt mikro-kontroller opprettet for å sikre at systemene alltid starter opp fra den siste kjente gode tilstanden. Brikken er av størrelsen på en liten øredobb og har allerede blitt installert i mange av dataserverne og nettverkskortene som fyller Googles massive datasentre.
Da brikken først ble avduket i mars i år, planla Google å bruke prosessoren til å gi hver av serverne en individuell identitet. Fra og med i dag bruker Google for øyeblikket Titans sikkerhetschips for å beskytte serverne som kjører egne tjenester som Google Søk, Gmail og YouTube.
Hva består Titan Security Chip av?
Maskinene i Googles datasentre har flere komponenter, inkludert CPUer, RAM, BMC, Network Interface Controller (NIC), oppstartsprodukter, boot-firmware-flash og vedvarende lagring. Disse komponentene samhandler med hverandre systematisk for å starte maskinen. For å beskytte denne oppstartsprosessen bruker Google sikker oppstart som bygger på en kombinasjon av en autentisert oppstartsprogramvare og en oppstartslaster, sammen med digitalt signerte oppstartsfiler, for å gi de ønskede sikkerhetstiltakene.
Titan er en spesialdesignet chip som ikke bare oppfyller disse forventningene, men gir også to viktige ekstra sikkerhetsegenskaper - rensing og førstegangsintegritet. Chipen kommuniserer med hovedprosessoren via SPI-bussen og interposes mellom boot-firmware-blitsen av komponentene som BMC eller PCH. Dette gjør det mulig å observere hver byte av boot-firmware.
For å oppnå sikkerhetstiltakene som Titan lover, består det av flere komponenter . Noen av de fremtredende er nevnt nedenfor.
- En sikker applikasjonsprosessor
- En kryptografisk samprosessor
- En maskinvare tilfeldig talgenerator
- Et sofistikert nøkkelhierarki
- En innebygd statisk RAM (SRAM)
- En innebygd flash
- En skrivebeskyttet minneblokk
- Serial Peripheral Interface (SPI) buss
- Baseboard Management Controller (BMC) eller Platform Controller Hub (PHC)
Hvordan fungerer Titan Security Chip?
Det første trinnet i arbeidet med Titan-sikkerhetsbrikken er utførelse av kode fra prosessorene . Dette gjøres umiddelbart etter at vertsmaskinen er slått på. Deretter legger produksjonsprosessen ned en uforanderlig kode som er betrodd implisitt og er validert ved hver tilbakestilling av brikker. Etterpå kjører brikken en selvtest som er innebygd i minnet. Dette skjer hver gang det starter opp for å sikre at alt minne, inkludert ROM, ikke har blitt manipulert.
Det neste trinnet er å laste Titans firmware . Selv om denne fastvaren er innebygd i flash-minnet på flash, stoler Titan boot ROM ikke på det blindt. I stedet verifiserer den Titans fastvare ved hjelp av publisitetskryptografi og blander identiteten til denne verifiserte koden til Titans nøkkelhierarki. Endelig laster oppstarts ROM den verifiserte fastvaren.
Når Titan-chippen støtter sin egen firmware sikkert, verifiseres innholdet i vertens boot-firmware-flash ved bruk av kryptering med offentlig nøkkel. Mens denne bekreftelsen er under behandling, kan Titan overføre tilgangen til PCH / BMC til oppstartsprogramvarens flash. Nå når prosessen endelig blir fullført, sender brikken et signal for å frigjøre resten av maskinen fra nullstilling. Dette signalet gir Google Cloud Platform informasjon om hva boot-firmware og operativsystem blir startet på maskinen fra den aller første instruksjonen. Google Cloud Platform lærer også om mikrokodepatchene som kan ha blitt hentet før oppstartsmodusens første instruksjon.
Endelig konfigurerer Google-verifisert oppstartsprogramvare maskinen og laster opp opplastingsprogrammet . Dette verifiserer og laster deretter operativsystemet.
Hvorfor Behovet for Titan Security Chip?
Som de fleste nettverksmaskinvare og servere ble gjort utenlands, var datasentraloperatører som jobbet for Google Cloud Platform, opptatt av mulighetene for nasjonalstatistiske hackere eller cyberkriminelle som skulle sette seg i fare for disse enhetene før de sendte dem. Googles Titan-chip adresserer disse bekymringene gjennom sine kontinuerlige kontroller som gir ekstra sikkerhet til cloud computing-maskinvaren. Dette gjør at selskapet kan opprettholde et nivå av forståelse i deres forsyningskjede som de ellers ikke ville ha.
En annen grunn til at du installerer Titan-sikkerhetsbrikken i dataservere, er å motvirke nye firmware-angrep som kan målrettes mot omskrivbare firmware-chips. Disse kan enten være BIOS-chips eller harddiskkontrollere.
Hvordan fordeler Titan Security Chip Google?
Det er to primære måter hvor Titans sikkerhetsbrikke fordeler Google. Først er sikkerhetspunktet, og det andre er konkurransepunktet.
Fra sikkerhetspunktspunktet, fordeler Titan-brikken Google på tre måter:
- Det gir en maskinvarebasert rot av tillit som etablerer en sterk identitet til en maskin. Dette hjelper Google med å ta viktige sikkerhetsbeslutninger og validere helsen til systemet. Som et resultat sikrer dette et irreversibelt revisjonsspor av eventuelle endringer.
- Den manipulerende evnen til logging hjelper til med å identifisere handlinger utført av en insider med root-tilgang.
- Brikken tilbyr integritetsbekreftelse av firmware og programvarekomponenter.
Fra konkurransedyktig perspektiv har Google Cloud Platform for tiden en global markedsandel på 7%. Dette gjør at den står tredje til Amazon Web Services (AWS) (41% markedsandel) og Microsoft Azure (13% markedsandel). Med den nye Titan-brikken ser Google ut til å skille seg fra sine konkurrenter og bringe flere sikkerhetsfokuserte selskaper til sin cloud computing-plattform. Dette er et viktig trekk som, ifølge Gartner, er verdensomspennende cloud computing-markedet verdt nesten 50 milliarder dollar.
Som en følge av dette har Google også utviklet et end-to-end kryptografisk identitetssystem basert på Titan. Dette kan videre fungere som grunnlaget for tillit til varierte kryptografiske operasjoner i deres datasentre.
Vil Titan Security Chip virkelig hjelpe Google?
Mens Google Cloud Platform for tiden faller bak sine konkurrenter, spesielt AWS, lyder Titan-sikkerhetsbrikken som en god del for dem. Med sine imponerende testresultater kommer det hele ned til hvorvidt brikken vil hjelpe Google Cloud Services til å skille seg ut fra de andre på lengre sikt. Personlig er jeg veldig interessert for å se hvordan ting vil vise seg. Hva med deg? Gi meg beskjed om dette i kommentarfeltet nedenfor.