硬件行业的一些顶尖企业已经联手创建通用技术来增强云的安全性。
谷歌、英伟达、微软和 AMD 合作建立了 Caliptra,这是一个在芯片内部嵌入安全机制的开放规范。该规范是开源且免费许可的,于周二在加利福尼亚州圣克拉拉举行的开放计算项目峰会上宣布。参与的公司都是开放计算项目 (OCP) 的成员,该项目将维护该项目的开发与 Linux 基金会一起制定该规范。
Caliptra 项目围绕建立一个 信任的根源 (RoT) — 在芯片中构建安全层,以便数据在数据中心或云中传输时得到加密且不会暴露。
“我们需要将这种能力嵌入到硅中。在未来的某个时候,仅仅将其安装在主板上是不够的,例如作为单独的电路安装在服务器中,”OCP 市场情报副总裁 Cliff Grossner 在新闻发布会上表示。
Caliptra 将数据的安全边界从芯片级扩展到云端。该规范为芯片制造商和云提供商提供了通用语言,以围绕 机密计算,作为一种保护存储、传输或在云中处理数据的方法而受到关注。
微软 Azure 首席技术官 Mark Russinovich 在一份报告中写道:“随着边缘计算的兴起,暴露的攻击面随之增加,也需要更强大的物理安全解决方案。” 周二博客文章 关于卡利普特拉。
定义开源机密计算
Spectre 和 Meltdown 等漏洞表明黑客可以通过攻击硬件来窃取数据。英特尔和 AMD 的 CPU 在数据中心和云基础设施领域占据主导地位,它们正在添加专有功能以在芯片级别锁定数据,但 Caliptra 被定位为可行的开源替代方案。
该规范定义了一个可重复使用的硅块,可以将其放入芯片和设备中以建立 RoT。硅块提供可验证的加密保证,确保芯片安全配置正确。它还在芯片内提供了一种机制来确保引导代码是可信的。
OCP 的 Grossner 表示:“这代表着对当今现有解决方案的增强,我们预计这将满足未来边缘和机密计算的增强安全要求。”
规范 包括保护数据免受一系列电磁、旁道和其他常见攻击的机制。但 Caliptra 并不涵盖像量子计算机这样的新兴攻击媒介,这将提供手段 破解高级加密 只需几秒钟。
Caliptra 规范还涵盖了以下主要方面 证明,这更多的是芯片级握手,以确保只有授权方才能访问存储在硬件飞地中的数据。芯片中的 RoT 块隔离数据,同时提供有效的机制来验证代码、固件和其他安全资产的真实性和完整性。
保护企业云安全
第一个 Caliptra 规范 0.5 版可以在现场可编程门阵列上进行原型设计,然后再实施到最终的芯片设计中。该规范文件指出该技术适用于企业计算基础设施,而不是家庭或商用电脑。
Caliptra 的原则包括身份验证、检测和恢复,主要倾向于为服务器和边缘芯片建立硅 RoT,这些芯片的构建方式与 PC 芯片不同。
微软正在使用基于可信平台模块(TPM)芯片的认证作为 Windows 10 和 11 的安全机制 操作系统。公司的 Pluton安全芯片内置了 TPM,可用于认证,但在很大程度上已被更广泛的 PC 行业所拒绝。
微软和谷歌高管没有透露是否或何时将 Caliptra 纳入其云服务的一部分。微软上周扩大了 AMD SNP-SEV 技术的使用范围 云中的机密计算。 Azure 还提供具有英特尔专有 SGX 安全飞地的虚拟机实例。
扩展开放计算项目
开放计算项目由 Google 和 Meta(后来的 Facebook)等公司于 2011 年建立,它们购买了数千台服务器,并希望在其大型数据中心实现硬件设计标准化。目标是通过剥离不必要的组件来减少服务器构建时间并降低成本。
此后,OCP 已发展成为一个强大的组织,所有主要基础设施硬件提供商都是其成员,但苹果和亚马逊除外,它们依赖于内部设计的硬件。
OCP 指南还包括现已广泛采用的电源、冷却、存储和网络规范。 OCP 还激励非技术公司(主要是金融领域的公司)尝试和开发用于本地数据中心的标准化服务器。
“OCP 社区中的行业领导者齐聚一堂,我们希望为已部署的服务器带来标准化的设施架构,”Grossner 说。 “服务器安全将变得可扩展。”
以前的服务器很大程度上依赖于 CPU,但现在包括 GPU 等不同的计算设备来处理人工智能等应用程序。标准化服务器安全架构是公司高管在 OCP 电话会议上向媒体发表讲话时的首要任务。
“我们都参与这个生态系统 - 它始于您对计算的信任......。 AMD 首席技术官马克·佩珀马斯特 (Mark Papermaster) 在电话会议上表示:“我们正在采取多种分叉的解决方案,这对任何人都没有好处。”
