內存的安全功能并不新鮮,但由于大流行導致的遠程工作激增,連接性的增強意味著保護數(shù)據(jù)更加關鍵,甚至更具挑戰(zhàn)性。在包括 5G 在內的通信基礎設施之間共享數(shù)據(jù)的新興用例中,安全挑戰(zhàn)被放大了。
同時,啟用安全性會增加內存設計的復雜性。
甚至在邊緣計算、物聯(lián)網 (IoT) 和聯(lián)網汽車爆炸式增長之前,內存中的安全功能就已經在激增。電可擦可編程只讀存儲器 (EEPROM) 受到信用卡、SIM 卡和無鑰匙進入系統(tǒng)的青睞,而 SD 卡中的“S”代表“安全”,而基于閃存的 SSD 多年來一直包含加密。
安全性已經穩(wěn)定地嵌入到分布在整個計算系統(tǒng)和網絡環(huán)境中的內存和網絡設備中。但是這些基于內存的安全功能仍然必須考慮人為錯誤。信息安全專業(yè)人員必須處理用戶打開虛假附件或路由器配置錯誤的后果。
同樣,除非正確配置,并且在包含軟件的系統(tǒng)中協(xié)調一致,否則安全內存功能的好處將無法完全實現(xiàn)。
您可以說雙 SoC(安全運營中心和片上系統(tǒng))正在合并。
英飛凌的 Semper Secure NOR 閃存可用作硬件信任根,同時還可執(zhí)行診斷和數(shù)據(jù)校正以確保功能安全。(來源:英飛凌)
Rambus 等公司提供旨在保護每個連接的產品,以響應云和邊緣計算中增加的服務器連接帶寬需求。與此同時,英飛凌科技擴展了其賽普拉斯半導體Semper NOR 閃存,以反映每個系統(tǒng)連接的必然性——黑客篡改閃存設備的內容。
這種篡改可能會影響任何數(shù)量的不同計算平臺,包括自動駕駛汽車,它本質上是一個帶輪子的服務器。再加上 5G 網絡增強的工業(yè)、醫(yī)療和物聯(lián)網場景。安全性不僅需要集成,還需要在許多不同設備的生命周期內進行管理,其中一些設備使用嵌入式內存可能會持續(xù)十年。內存密集型應用程序仍然對黑客最有吸引力。
分析師 Thomas Coughlin 表示,加密密鑰管理對于保護系統(tǒng)仍然至關重要。隨著非易失性存儲器技術的普及,將安全性融入嵌入式系統(tǒng)變得越來越重要。這是因為即使設備斷電,數(shù)據(jù)也會持續(xù)存在。
Coughlin 說,挑戰(zhàn)并不在于增加安全功能。例如,SSD 上的數(shù)據(jù)可以加密?!白畲蟮膯栴}是用戶使用這些功能是否容易,因為通常最薄弱的環(huán)節(jié)是人的環(huán)節(jié)?!?/p>
智能手機充當身份驗證代理,生物識別技術取代了傳統(tǒng)密碼。這種情況留下了未加密數(shù)據(jù)可能意外暴露的可能性。Coughlin 說,危險在于實施缺陷或復雜性?!白尠踩兊煤唵问顷P鍵,這不僅僅是加密數(shù)據(jù)并將其放入硬件。”
SSD 和內存供應商 Virtium 的營銷副總裁 Scott Phillips 說,加密 SSD 只到此為止。需要一種多層次的管理方法。Phillips 說,雖然Trusted Computing Group 的 Opal規(guī)范等存儲規(guī)范可以達到 BIOS 級別以進行預啟動身份驗證,但配置和集中管理對于防范黑客攻擊至關重要。
“即使是一家體面的公司也無法實現(xiàn)很多整體的、復雜的安全性,”他補充道。
隨著 5G 的發(fā)展,人們正在努力實現(xiàn)數(shù)據(jù)路徑保護到數(shù)據(jù)中心和數(shù)據(jù)中心之間,但在實現(xiàn)基于硬件的安全性的好處方面仍然存在挑戰(zhàn)。
集成要求
在工業(yè)市場中,整合需要整合不同的系統(tǒng)。菲利普斯說,與此同時,亞馬遜網絡服務和微軟 Azure 等超大規(guī)模企業(yè)正在促進數(shù)據(jù)安全。盡管如此,這些防御必須一直實施到最終用戶。
盡管標準和要求的列表越來越多,但安全方法仍然存在兼容性問題。菲利普斯說,供應商仍在努力將自己定位為安全產品和服務的領導者。
“黑客總是領先一步,”他補充道?!八麄冎浪羞@些小漏洞在哪里。這些是他們檢查的東西。真的需要一個集中的、超級細致的 IT 人員或部門來解決所有這些漏洞?!?/p>
將安全性嵌入存儲設備而不是用螺栓固定的想法與軟件方法沒有什么不同?!癉evSecOps”是關于使安全和隱私成為應用程序開發(fā)過程中不可或缺的一部分。
一個被稱為“機密計算”的新興框架旨在通過在基于硬件的可信執(zhí)行環(huán)境 (TEE) 中隔離計算來保護正在使用的數(shù)據(jù)。在處理數(shù)據(jù)時,數(shù)據(jù)在內存和 CPU 之外的其他地方被加密。
英特爾 SGX 支持創(chuàng)建可信執(zhí)行環(huán)境,這是主處理器的一個安全區(qū)域,可確保加載的代碼和數(shù)據(jù)在機密性和完整性方面受到保護。
軟件和硬件供應商都在推廣機密計算,包括最近宣布將其應用于容器工作負載的谷歌,英特爾還通過其英特爾軟件保護擴展為 Microsoft Azure 等云提供商啟用 TEE 。
機密計算需要共同承擔安全責任。英特爾產品保障和安全架構高級首席工程師西蒙約翰遜表示,人類仍然是最薄弱的環(huán)節(jié)。
約翰遜說,英特爾支持開發(fā)人員執(zhí)行代碼以保護數(shù)據(jù)。同時,機密計算運動源于企業(yè)要求處理不考慮來源的數(shù)據(jù),包括敏感的醫(yī)療保健信息、財務記錄和知識產權。
約翰遜說,平臺提供商不應該能夠看到數(shù)據(jù)?!澳阆胱尡M可能多的人遠離你的事情?!?/p>
英特爾 SGX 包括基于硬件的內存加密,可隔離內存中的特定應用程序代碼和數(shù)據(jù)。它允許用戶級代碼分配專用內存“飛地”,旨在與以更高權限級別運行的進程隔離。結果是更精細的控制和保護,以防止針對 RAM 中的內存的冷啟動攻擊等攻擊。
英特爾框架還旨在幫助抵御基于軟件的攻擊,即使操作系統(tǒng)、驅動程序、BIOS 或虛擬機管理器受到威脅。
機密計算將使工作負載成為可能,例如對不屬于用戶的大型數(shù)據(jù)集進行分析。它還可以在更接近工作負載的地方執(zhí)行加密密鑰,從而改善延遲?!敖裉煳覀冋娴闹挥熊浖硖峁┍Wo,”約翰遜說。“我們在這類環(huán)境中沒有硬件保護?!?/p>
Johnson 說,機密計算將通過以機密計算聯(lián)盟的授權為代表的硬件和軟件生態(tài)系統(tǒng)來保護數(shù)據(jù)或代碼的處理。
Virtium 的 Phillips 指出,易用性幾乎總能提高安全性。按鈕式內存加密是目標,“而全面的安全性將來自除此之外的附加功能,”他補充道。
他說,這個想法不僅僅是加密內存,而是保證完全的數(shù)據(jù)隔離,以確保安全的環(huán)境?!皺C密計算不僅僅是加密內存,是一個更廣泛的故事。”
這也是為了適應一個異質的世界。“在使用數(shù)據(jù)時,您必須提供一層訪問控制,并能夠證明您正在使用該軟件,并且該數(shù)據(jù)位于某個區(qū)域。它把所有這些東西都建在了梯子上?!?/p>
審核編輯 黃昊宇
-
安全
+關注
關注
1文章
334瀏覽量
35602 -
內存
+關注
關注
8文章
2903瀏覽量
73536 -
加密
+關注
關注
0文章
299瀏覽量
23788
發(fā)布評論請先 登錄
相關推薦
評論