內(nèi)存在安全中起著至關(guān)重要的作用

內(nèi)存的安全功能并不新鮮，但由于大流行導(dǎo)致的遠(yuǎn)程工作激增，連接性的增強(qiáng)意味著保護(hù)數(shù)據(jù)更加關(guān)鍵，甚至更具挑戰(zhàn)性。在包括 5G 在內(nèi)的通信基礎(chǔ)設(shè)施之間共享數(shù)據(jù)的新興用例中，安全挑戰(zhàn)被放大了。

同時(shí)，啟用安全性會(huì)增加內(nèi)存設(shè)計(jì)的復(fù)雜性。

甚至在邊緣計(jì)算、物聯(lián)網(wǎng) (IoT) 和聯(lián)網(wǎng)汽車爆炸式增長(zhǎng)之前，內(nèi)存中的安全功能就已經(jīng)在激增。電可擦可編程只讀存儲(chǔ)器 (EEPROM) 受到信用卡、SIM 卡和無鑰匙進(jìn)入系統(tǒng)的青睞，而 SD 卡中的“S”代表“安全”，而基于閃存的 SSD 多年來一直包含加密。

安全性已經(jīng)穩(wěn)定地嵌入到分布在整個(gè)計(jì)算系統(tǒng)和網(wǎng)絡(luò)環(huán)境中的內(nèi)存和網(wǎng)絡(luò)設(shè)備中。但是這些基于內(nèi)存的安全功能仍然必須考慮人為錯(cuò)誤。信息安全專業(yè)人員必須處理用戶打開虛假附件或路由器配置錯(cuò)誤的后果。

同樣，除非正確配置，并且在包含軟件的系統(tǒng)中協(xié)調(diào)一致，否則安全內(nèi)存功能的好處將無法完全實(shí)現(xiàn)。

您可以說雙 SoC（安全運(yùn)營(yíng)中心和片上系統(tǒng)）正在合并。

英飛凌的 Semper Secure NOR 閃存可用作硬件信任根，同時(shí)還可執(zhí)行診斷和數(shù)據(jù)校正以確保功能安全。（來源：英飛凌）

Rambus 等公司提供旨在保護(hù)每個(gè)連接的產(chǎn)品，以響應(yīng)云和邊緣計(jì)算中增加的服務(wù)器連接帶寬需求。與此同時(shí)，英飛凌科技擴(kuò)展了其賽普拉斯半導(dǎo)體Semper NOR 閃存，以反映每個(gè)系統(tǒng)連接的必然性——黑客篡改閃存設(shè)備的內(nèi)容。

這種篡改可能會(huì)影響任何數(shù)量的不同計(jì)算平臺(tái)，包括自動(dòng)駕駛汽車，它本質(zhì)上是一個(gè)帶輪子的服務(wù)器。再加上 5G 網(wǎng)絡(luò)增強(qiáng)的工業(yè)、醫(yī)療和物聯(lián)網(wǎng)場(chǎng)景。安全性不僅需要集成，還需要在許多不同設(shè)備的生命周期內(nèi)進(jìn)行管理，其中一些設(shè)備使用嵌入式內(nèi)存可能會(huì)持續(xù)十年。內(nèi)存密集型應(yīng)用程序仍然對(duì)黑客最有吸引力。

分析師 Thomas Coughlin 表示，加密密鑰管理對(duì)于保護(hù)系統(tǒng)仍然至關(guān)重要。隨著非易失性存儲(chǔ)器技術(shù)的普及，將安全性融入嵌入式系統(tǒng)變得越來越重要。這是因?yàn)榧词乖O(shè)備斷電，數(shù)據(jù)也會(huì)持續(xù)存在。

Coughlin 說，挑戰(zhàn)并不在于增加安全功能。例如，SSD 上的數(shù)據(jù)可以加密?！白畲蟮膯栴}是用戶使用這些功能是否容易，因?yàn)橥ǔＷ畋∪醯沫h(huán)節(jié)是人的環(huán)節(jié)?！?/p>

智能手機(jī)充當(dāng)身份驗(yàn)證代理，生物識(shí)別技術(shù)取代了傳統(tǒng)密碼。這種情況留下了未加密數(shù)據(jù)可能意外暴露的可能性。Coughlin 說，危險(xiǎn)在于實(shí)施缺陷或復(fù)雜性?！白尠踩兊煤?jiǎn)單是關(guān)鍵，這不僅僅是加密數(shù)據(jù)并將其放入硬件。”

SSD 和內(nèi)存供應(yīng)商 Virtium 的營(yíng)銷副總裁 Scott Phillips 說，加密 SSD 只到此為止。需要一種多層次的管理方法。Phillips 說，雖然Trusted Computing Group 的 Opal規(guī)范等存儲(chǔ)規(guī)范可以達(dá)到 BIOS 級(jí)別以進(jìn)行預(yù)啟動(dòng)身份驗(yàn)證，但配置和集中管理對(duì)于防范黑客攻擊至關(guān)重要。

“即使是一家體面的公司也無法實(shí)現(xiàn)很多整體的、復(fù)雜的安全性，”他補(bǔ)充道。

隨著 5G 的發(fā)展，人們正在努力實(shí)現(xiàn)數(shù)據(jù)路徑保護(hù)到數(shù)據(jù)中心和數(shù)據(jù)中心之間，但在實(shí)現(xiàn)基于硬件的安全性的好處方面仍然存在挑戰(zhàn)。

集成要求

在工業(yè)市場(chǎng)中，整合需要整合不同的系統(tǒng)。菲利普斯說，與此同時(shí)，亞馬遜網(wǎng)絡(luò)服務(wù)和微軟 Azure 等超大規(guī)模企業(yè)正在促進(jìn)數(shù)據(jù)安全。盡管如此，這些防御必須一直實(shí)施到最終用戶。

盡管標(biāo)準(zhǔn)和要求的列表越來越多，但安全方法仍然存在兼容性問題。菲利普斯說，供應(yīng)商仍在努力將自己定位為安全產(chǎn)品和服務(wù)的領(lǐng)導(dǎo)者。

“黑客總是領(lǐng)先一步，”他補(bǔ)充道?！八麄冎浪羞@些小漏洞在哪里。這些是他們檢查的東西。真的需要一個(gè)集中的、超級(jí)細(xì)致的 IT 人員或部門來解決所有這些漏洞?！?/p>

將安全性嵌入存儲(chǔ)設(shè)備而不是用螺栓固定的想法與軟件方法沒有什么不同?！癉evSecOps”是關(guān)于使安全和隱私成為應(yīng)用程序開發(fā)過程中不可或缺的一部分。

一個(gè)被稱為“機(jī)密計(jì)算”的新興框架旨在通過在基于硬件的可信執(zhí)行環(huán)境 (TEE) 中隔離計(jì)算來保護(hù)正在使用的數(shù)據(jù)。在處理數(shù)據(jù)時(shí)，數(shù)據(jù)在內(nèi)存和 CPU 之外的其他地方被加密。

英特爾 SGX 支持創(chuàng)建可信執(zhí)行環(huán)境，這是主處理器的一個(gè)安全區(qū)域，可確保加載的代碼和數(shù)據(jù)在機(jī)密性和完整性方面受到保護(hù)。

軟件和硬件供應(yīng)商都在推廣機(jī)密計(jì)算，包括最近宣布將其應(yīng)用于容器工作負(fù)載的谷歌，英特爾還通過其英特爾軟件保護(hù)擴(kuò)展為 Microsoft Azure 等云提供商啟用 TEE 。

機(jī)密計(jì)算需要共同承擔(dān)安全責(zé)任。英特爾產(chǎn)品保障和安全架構(gòu)高級(jí)首席工程師西蒙約翰遜表示，人類仍然是最薄弱的環(huán)節(jié)。

約翰遜說，英特爾支持開發(fā)人員執(zhí)行代碼以保護(hù)數(shù)據(jù)。同時(shí)，機(jī)密計(jì)算運(yùn)動(dòng)源于企業(yè)要求處理不考慮來源的數(shù)據(jù)，包括敏感的醫(yī)療保健信息、財(cái)務(wù)記錄和知識(shí)產(chǎn)權(quán)。

約翰遜說，平臺(tái)提供商不應(yīng)該能夠看到數(shù)據(jù)?！澳阆胱尡M可能多的人遠(yuǎn)離你的事情?！?/p>

英特爾 SGX 包括基于硬件的內(nèi)存加密，可隔離內(nèi)存中的特定應(yīng)用程序代碼和數(shù)據(jù)。它允許用戶級(jí)代碼分配專用內(nèi)存“飛地”，旨在與以更高權(quán)限級(jí)別運(yùn)行的進(jìn)程隔離。結(jié)果是更精細(xì)的控制和保護(hù)，以防止針對(duì) RAM 中的內(nèi)存的冷啟動(dòng)攻擊等攻擊。

英特爾框架還旨在幫助抵御基于軟件的攻擊，即使操作系統(tǒng)、驅(qū)動(dòng)程序、BIOS 或虛擬機(jī)管理器受到威脅。

機(jī)密計(jì)算將使工作負(fù)載成為可能，例如對(duì)不屬于用戶的大型數(shù)據(jù)集進(jìn)行分析。它還可以在更接近工作負(fù)載的地方執(zhí)行加密密鑰，從而改善延遲?！敖裉煳覀冋娴闹挥熊浖硖峁┍Ｗo(hù)，”約翰遜說?！拔覀?cè)谶@類環(huán)境中沒有硬件保護(hù)。”

Johnson 說，機(jī)密計(jì)算將通過以機(jī)密計(jì)算聯(lián)盟的授權(quán)為代表的硬件和軟件生態(tài)系統(tǒng)來保護(hù)數(shù)據(jù)或代碼的處理。

Virtium 的 Phillips 指出，易用性幾乎總能提高安全性。按鈕式內(nèi)存加密是目標(biāo)，“而全面的安全性將來自除此之外的附加功能，”他補(bǔ)充道。

他說，這個(gè)想法不僅僅是加密內(nèi)存，而是保證完全的數(shù)據(jù)隔離，以確保安全的環(huán)境?！皺C(jī)密計(jì)算不僅僅是加密內(nèi)存，是一個(gè)更廣泛的故事?！?/p>

這也是為了適應(yīng)一個(gè)異質(zhì)的世界?！霸谑褂脭?shù)據(jù)時(shí)，您必須提供一層訪問控制，并能夠證明您正在使用該軟件，并且該數(shù)據(jù)位于某個(gè)區(qū)域。它把所有這些東西都建在了梯子上?！?/p>