基于云的芯片設計和驗證的強大安全性

作者：Synopsys 副總裁兼首席信息安全官 Wagner Nascimento 和 IT 集團總監(jiān) Venkata Ravella

幾年前，雖然許多行業(yè)開始將其功能和流程遷移到云端，但電子設計界采取了更加謹慎的方法。考慮到寶貴的知識產權處于危險之中，這不足為奇。然而，芯片行業(yè)很快就意識到基于云的設計流程的好處，尤其是在強大的安全性的支持下，太有吸引力了，不容忽視。

長期以來，半導體設計一直受到嚴格的質量要求和積極的上市時間目標的推動，不斷增長的成本侵犯了利潤。更重要的是，人工智能（AI）和高性能計算（HPC）等計算密集型領域的新興應用繼續(xù)給芯片設計帶來巨大壓力。并且繼續(xù)推動減少芯片設計和驗證的周期時間。

云優(yōu)化的電子設計自動化 (EDA) 解決方案緩解了這些挑戰(zhàn)，同時為持續(xù)創(chuàng)新提供了途徑，即使摩爾定律放緩。主要優(yōu)勢？

• 與在本地數(shù)據(jù)中心運行 EDA 解決方案相比，云開放更多計算資源以加速設計和驗證過程，因此更快獲得結果。此外，工程師還可以根據(jù)項目需求快速擴展或縮減資源，從而使他們受益匪淺。
• 提高結果的質量，因為幾乎無限的云計算資源意味著工程師可以進行大規(guī)模的模擬、時序簽核和物理驗證任務，這些任務會嚴重地消耗本地計算資源。
• 更好的結果成本，因為云可以在需要時提供對最新計算和存儲資源的訪問，并采用靈活的即用即付定價模式。

盡管這些優(yōu)勢很有吸引力，但如果沒有最高級別的安全性，基于云的芯片設計和驗證就無法蓬勃發(fā)展。在這篇博文中，我們將仔細研究 EDA 供應商如何通過現(xiàn)代云安全和云原生流程和技術建立對其云優(yōu)化解決方案的信任。

云安全的左移

最重要的是，芯片設計人員希望確保他們的設計和 IP 在他們工作的環(huán)境中是安全的。當我們將芯片設計和驗證流程轉移到云環(huán)境中時，我們必須將安全性嵌入到軟件開發(fā)生命周期、基礎設施和平臺的各個方面。

通常，云提供商在共同責任模式下運營。云的安全，例如數(shù)據(jù)中心，是提供商的責任；因此，在他們的基礎設施和應用程序中從頭開始構建安全性符合他們的最大利益。

云服務提供商負責底層云基礎設施的安全，例如環(huán)境的物理安全、計算管理程序的安全、多租戶軟件定義網絡環(huán)境的網絡安全以及所提供應用程序的安全/用于管理某些操作的服務。云客戶負責保護工作負載，例如基礎架構設置、環(huán)境中的網絡安全、入口/出口控制和應用程序安全。

如果您正在考慮最佳實踐，其中大部分歸結為左移：將安全性置于項目的初始階段并將安全性集成到環(huán)境的各個方面。例如，在構建云基礎架構時，架構師應該回答幾個關鍵問題：

• 我們將如何細分環(huán)境？
• 我們將如何監(jiān)控和管理訪問？
• 我們將如何確保遵守已制定的要求？
• 我們將如何保護緩存、存儲和傳輸中的數(shù)據(jù)？

在應用程序級別，必須在整個軟件開發(fā)生命周期中掃描代碼以查找安全漏洞。應通過多因素身份驗證等技術控制和保護對應用程序的訪問。建立不同級別的數(shù)據(jù)分類以及相關的訪問權限可能是合適的。云工作負載保護應應用于虛擬機和容器，并監(jiān)控關鍵漏洞。

云安全設計

Synopsys 以我們對安全的承諾為后盾，在云中提供我們廣泛的設計和驗證解決方案組合。硅設計解決方案在主要公共云平臺上經過生產驗證，并得到主要半導體代工廠的認可，可與他們的庫和工藝設計套件一起使用。驗證解決方案可以加速軟件啟動和系統(tǒng)驗證。

我們的云安全支柱為我們的云優(yōu)化 EDA 和 IP 解決方案以及將自己的軟件或應用程序遷移到云的客戶提供端到端的方法。這些支柱涉及以下關鍵領域：

• 通過多因素身份驗證實施和基于角色的訪問控制和權限進行身份和訪問管理
• 數(shù)據(jù)，其中涉及對傳輸中和靜態(tài)中的所有敏感信息進行加密，以及機密和證書的使用
• 基礎設施，包括監(jiān)控云環(huán)境中的安全威脅和錯誤配置；在公有云和整個軟件生命周期中保護虛擬機和容器；提供對虛擬機和容器的漏洞掃描；通過限制網絡流量和其他訪問控制來減少攻擊面
• 應用程序，包括安全持續(xù)集成 (CI)/持續(xù)交付 (CD) DevSecOps，用于在云服務交付管道中開發(fā)和實施安全控制，使用靜態(tài)應用程序安全測試 (SAST) 和動態(tài)應用程序安全測試 (DAST) 對漏洞進行應用程序代碼掃描)、開源漏洞掃描和滲透測試
• 威脅和漏洞管理，包括對資產的掃描以及對漏洞管理和修補程序的洞察。
• 事件響應，提供安全的日志記錄和監(jiān)控、威脅情報服務、記錄和測試的運行手冊，以及用于升級、日志記錄和監(jiān)控的資源，包括云活動日志記錄、登錄和審計日志記錄，以及與日志源的關聯(lián)以改進情境意識
• 合規(guī)和治理，包括對行業(yè)認證和驗證的保證，以及對控制有效性的證明

Synopsys 作為安全差異化因素

我們的創(chuàng)新工具提供針對漏洞的高級保護。我們具有獨特的優(yōu)勢，可以從一開始就為這些產品提供安全性，因為我們使用整套 Synopsys 安全工具和服務。

鑒于Synopsys 對安全解決方案的投資，包括我們的 Black Duck? 和 Coverity? 技術等產品，我們擁有了解數(shù)據(jù)泄露發(fā)生位置、評估源代碼和應用程??序弱點和漏洞以及緩解安全問題的內部專業(yè)知識。我們還與云提供商密切合作，以確保我們共同的客戶對在我們基于云的工具上運行他們的設計充滿信心。

半導體創(chuàng)新的新途徑

在云采用方面，金融行業(yè)與電子設計行業(yè)有一些相似之處。鑒于財務數(shù)據(jù)的敏感性，難怪該行業(yè)遷移到云的速度也很慢。但一旦大銀行開始這樣做，業(yè)內其他人也紛紛效仿。隨著越來越多的設計人員體驗到在云中設計和驗證芯片的好處，半導體設計行業(yè)看起來也將遵循類似的軌跡。

基于云的芯片設計和驗證帶來了計算資源的靈活性，以獲得更好的結果和更快的周轉時間。隨著芯片的復雜性和尺寸不斷增加，特別是對于 AI 和 HPC 等要求苛刻的應用程序，云為提高生產力和創(chuàng)新提供了一個受歡迎且安全的途徑。