АМД најавио интеграцију са Мицрософтовом иницијативом за безбедни ПЦ рачунар



In today's world, computer security is becoming very important due the exponential increase in malware and ransomware attacks. Various studies have shown that a single malicious attack can cost companies millions of dollars and can require significant recovery time. With the growth of employees working remotely and connected to a network considered less secure than traditional corporate network, employee's computer systems can be perceived as a weak security link and a risk to overall security of the company. Operating System (OS) and independent hardware vendors (IHV) are investing in security technologies which will make computers more resilient to cyberattacks.

Мицрософт је недавно најавио своју иницијативу за безбедни рачунар за рачунаре која се ослања на удружени напор ОЕМ партнера, добављача силикона и њих самих да обезбеде дубоко интегрисани хардвер, фирмвер и софтвер за унапређење заштите уређаја. Као водећи провајдер силикона на тржишту ПЦ-а, АМД ће бити кључни партнер у овим напорима са надолазећим процесорима који су компатибилни са сигурним рачунаром.

У рачунарском систему се за конфигурирање система у почетку извршавају фирмвер ниског нивоа и програм за покретање система. Затим се власништво над системом предаје оперативном систему чија је одговорност управљање ресурсима и заштита интегритета система.

У данашњем свету, цибер напади постају све софистициранији, а претње које циљају фирмвер ниског нивоа постају све истакнутији. Овом променљивом парадигмом безбедносних претњи постоји снажна потреба да се крајњим купцима обезбеди интегрисано хардверско и софтверско решење које систему нуде свеобухватну сигурност. Овде се појављује иницијатива Мицрософтовог обезбеђеног ПЦ-ја. Обезбеђен рачунски рачунар омогућава вам сигурно покретање система, заштиту уређаја од рањивости софтвера, заштиту оперативног система од напада и спречавање неовлашћеног приступа уређајима и подацима уз помоћ напредних контрола приступа и система за потврду идентитета.

АМД игра виталну улогу у омогућавању Сецуре-Цоре ПЦ-а као АМД-ових хардверских безбедносних карактеристика и припадајућег софтвера помаже у заштити напада софтвера ниског нивоа. Пре него што објаснимо како АМД омогућава Сеуред-Цоре ПЦ у следећим генима АМД Ризен производима, прво објаснимо неке безбедносне карактеристике и могућности АМД производа.

коже
Упутство за СКИНИТ помаже да се створи „корен поверења“, почевши од почетно непоузданог начина рада. СКИНИТ поново иницијализује процесор да успостави сигурно окружење извршења за софтверску компоненту која се назива сигурно учитавач (СЛ) и започне извршавање СЛ-а на начин да спречи неовлаштено дирање СКИНИТ проширује хардверски коријен поверења у сигуран учитавач.

Безбедан утоваривач (СЛ)
АМД Сецуре Лоадер (СЛ) одговоран је за проверу конфигурације платформе испитивањем хардвера и тражењем података о конфигурацији од ДРТМ услуге.

АМД-ов безбедни процесор (АСП)
АМД Сецуре Процессор је наменски хардвер доступан у сваком СОЦ-у који помаже у сигурном покретању са нивоа БИОС-а у окружење поузданог извршења (ТЕЕ). Поуздане апликације могу искористити индустријске стандардне АПИ-је како би искористили ТЕЕ-ово окружење сигурног извођења.

АМД-В са ГМЕТ-ом
АМД-В је сет хардверских екстензија како би се омогућила виртуализација на АМД платформама. Гуест Моде Екецуте Трап (ГМЕТ) је функција за убрзање перформанси силикона додана у следећем ген Ризен-у која омогућава хипервизору да ефикасно контролише интегритет кода и помогне да се заштити од злонамјерног софтвера.

Сада ћемо да разумемо основни концепт заштите управљачког софтвера на рачунару са сигурном језгром. Фирмваре и боотлоадер могу се слободно учитати под претпоставком да су то незаштићени коди знајући да ће убрзо након покретања систем прећи у поуздано стање с хардвером који присиљава фирмвер ниског нивоа низ познату и одмерену стазу кода. То значи да је компонента управљачког софтвера аутентификована и мјерена сигурносним блоком на АМД силицијуму и мјерење је сигурно похрањено у ТПМ-у за даљу употребу од стране оперативних система, укључујући провјеру и потврђивање. У било којем тренутку након покретања система у ОС, оперативни систем може затражити сигурносни блок АМД-а да га поново мери и упореди са старим вредностима пре него што се изврши са даљим операцијама. На овај начин ОС може да обезбеди интегритет система од покретања до времена рада. Горе описани проток заштите управљачког софтвера управља сервисним блоком АМД Динамиц Роот оф Труст Меасуремент (ДРТМ) и састоји се од упутстава СКИНИТ ЦПУ-а, АСП-а и АМД Сецуре Лоадер-а (СЛ). Овај блок је одговоран за стварање и одржавање ланца поверења између компонената обављањем следећих функција:

Измерите и потврдите фирмваре и боотлоадер
Прикупити следећу конфигурацију система за ОС која ће их заузврат потврдити у складу са безбедносним захтевима и спремити податке за будућу верификацију.
  • Мапа физичке меморије
  • Локација простора за конфигурацију ПЦИ
  • Локална конфигурација АПИЦ-а
  • Конфигурација И / О АПИЦ-а
  • Конфигурација ИОММУ / конфигурација ТМР
  • Конфигурација управљања напајањем
Иако горње методе помажу у заштити фирмвера, још увек постоји нападна површина коју треба заштитити, режим управљања системом (СММ). СММ је специјални ЦПУ мод у микроконтролерима к86 који управља управљањем напајањем, конфигурацијом хардвера, термичким надзором и свим осталим које произвођач сматра корисним. Кад год се затражи једна од ових системских операција, током извођења се позива прекид (СМИ) који извршава СММ код инсталиран од стране БИОС-а. СММ код се извршава на највишем нивоу привилегија и невидљив је за ОС. Због тога постаје атрактивна мета злоћудним активностима и може се потенцијално користити приступ меморији хипервизора и промена хипервизора.

Будући да СМИ руковатељ обично обезбеђује програмер различит, тада оперативни систем и СММ код руковаоца који ради на већој привилегији има приступ ОС / Хипервисор Меморији и ресурсима. Експлозибилне рањивости у СММ коду доводе до компромиса Виндовс ОС / ХВ & Виртуализатион Басед Сецурити (ВБС). Да би помогао изолирању СММ-а, АМД уводи сигурносни модул под називом АМД СММ Супервисор који се извршава непосредно прије него што се контрола пренесе у СМИ руковатељ након што се СМИ догодио. АМД СММ супервизор борави у сервисном блоку АМД ДРТМ, а сврха АМД СММ Супервизора је:
  • Спречите СММ да може да модификује Хипервисор или ОС меморију. Изузетак је мали координатни међуспремник комуникације између ова два.
  • Спречите СММ да уводи нови СММ код у време извођења
  • Забраните СММ-у приступ ДМА, И / О или регистрима који могу угрозити Хипервисор или ОС
To summarize, AMD will continue to innovate and push boundaries of security in hardware, whether it is DRTM service block to help protect integrity of the system, the use of Transparent Secure Memory Encryption (TSME) to help protect data or Control-flow Enforcement technology (CET) to help prevent against Return Oriented Programming (ROP) attacks. Microsoft is a key partner for AMD and as part of this relationship there is a joint commitment with the Secured-core PC initiative to improve security within software and hardware to offer a more comprehensive security solution to customers. Sources: Microsoft Secured-Core, AMD