AMD обявява интеграция с Инициативата за сигурен компютър на Microsoft



In today's world, computer security is becoming very important due the exponential increase in malware and ransomware attacks. Various studies have shown that a single malicious attack can cost companies millions of dollars and can require significant recovery time. With the growth of employees working remotely and connected to a network considered less secure than traditional corporate network, employee's computer systems can be perceived as a weak security link and a risk to overall security of the company. Operating System (OS) and independent hardware vendors (IHV) are investing in security technologies which will make computers more resilient to cyberattacks. Наскоро Microsoft обявиха своята инициатива за сигурно ядро ​​за компютър, която разчита на комбинирани усилия от OEM партньори, силиконови доставчици и самите тях да предоставят дълбоко интегриран хардуер, фърмуер и софтуер за подобрена сигурност на устройството. Като водещ доставчик на силиций на пазара на персонални компютри, AMD ще бъде ключов партньор в това усилие с предстоящите процесори, които са обезпечени с ядрен компютър.

В компютърна система първоначално се изпълнява фърмуерът с ниско ниво и зареждащият механизъм за конфигуриране на системата. Тогава собствеността върху системата се предава на операционната система, чиято отговорност е да управлява ресурсите и да защитава целостта на системата.

В днешния свят кибератаките стават все по-сложни, като заплахите, насочени към фърмуера на ниско ниво, стават все по-изявени. С тази променяща се парадигма при заплахи за сигурността, има остра нужда да се предоставят на крайните клиенти интегрирано хардуерно и софтуерно решение, което предлага цялостна сигурност на системата. Именно тук се появява инициативата за Microsoft Seured-core PC. Защитеният ядрен компютър ви позволява да стартирате сигурно, да защитите устройството си от уязвимости на фърмуера, да предпазите операционната система от атаки и да предотвратите неоторизиран достъп до устройства и данни с разширени контроли за достъп и системи за автентификация.

AMD играе жизненоважна роля за активирането на Secure-Core PC като хардуерни функции за защита на хардуера и свързания софтуер, помага да се защитят атаки на фърмуер на ниско ниво. Преди да обясним как AMD дава възможност на Seured-Core PC в следващите поколения продукти на AMD Ryzen, нека първо обясним някои функции за сигурност и възможности на продуктите на AMD.

кожи
Инструкцията SKINIT помага да се създаде „корен на доверие“, като се започне с първоначално ненадежден работен режим. SKINIT реинициализира процесора, за да създаде защитена среда за изпълнение на софтуерен компонент, наречен защитен товарач (SL), и стартира изпълнението на SL по начин, който да предотврати подправяне на SKINIT разширява хардуерен корен на доверие към защитния товарач.

Безопасен товарач (SL)
AMD Secure Loader (SL) е отговорен за валидирането на конфигурацията на платформата, като разпитва хардуера и изисква информация за конфигурация от DRTM Service.

AMD Secure Processor (ASP)
AMD Secure Processor е специализиран хардуер, наличен във всеки SOC, който помага да се осигури сигурно зареждане от BIOS ниво в Trusted Execution Environment (TEE). Надеждните приложения могат да използват стандартните API за индустрията, за да се възползват от сигурната среда за изпълнение на TEE.

AMD-V с GMET
AMD-V е набор от хардуерни разширения, които дават възможност за виртуализация на AMD платформи. Guest Mode Execute Trap (GMET) е силиконова функция за ускоряване на производителността, добавена в следващото поколение Ryzen, която позволява на хипервизора ефективно да се справя с проверката на целостта на кода и да защити от злонамерен софтуер.

Сега нека разберем основната концепция за защита на фърмуера в компютър с осигурено ядро. Фърмуерът и зареждащият механизъм могат да се зареждат свободно с предположението, че това са незащитени кодове и знаейки, че малко след стартирането системата ще премине в надеждно състояние с хардуерния принуждаващ фърмуер на ниско ниво надолу по добре познат и измерен код код. Това означава, че компонентът на фърмуера се удостоверява и измерва от защитния блок на AMD силиций и измерването се съхранява сигурно в TPM за по-нататъшно използване от операционни системи, включително проверка и атестация. Във всеки момент, след като системата се стартира в OS, операционната система може да поиска блокиращ блок AMD за преизмерване и сравнение със стари стойности, преди да извърши с други операции. По този начин ОС може да помогне за осигуряване на целостта на системата от зареждане до време за работа. Посоченият по-горе защитен поток на фърмуера се обработва от AMD Dynamic Root of Trust Measurement (DRTM) Service Service Block и се състои от инструкции за процесор SKINIT, ASP и AMD Secure Loader (SL). Този блок е отговорен за създаването и поддържането на верига на доверие между компоненти чрез изпълнение на следните функции:

Измервайте и удостоверявайте фърмуера и bootloader
Да събере следната системна конфигурация за ОС, която от своя страна ще ги утвърди спрямо нейните изисквания за сигурност и да съхранява информация за бъдеща проверка.
  • Карта на физическата памет
  • Местоположение на пространството за конфигурация на PCI
  • Локална APIC конфигурация
  • I / O APIC конфигурация
  • Конфигурация на IOMMU / конфигурация на TMR
  • Конфигурация за управление на мощността
Докато горните методи помагат при защитата на фърмуера, все още има повърхност за атака, която трябва да бъде защитена, режимът за управление на системата (SMM). SMM е специален процесорен режим в микроконтролери x86, който управлява захранването, хардуерната конфигурация, термичния мониторинг и всичко друго, което производителят счита за полезен. Всеки път, когато се изисква една от тези системни операции, по време на изпълнение се извиква прекъсване (SMI), което изпълнява SMM код, инсталиран от BIOS. SMM кодът се изпълнява в най-високото ниво на привилегия и е невидим за ОС. Поради това тя става привлекателна цел за злонамерена активност и може потенциално да се използва достъп до паметта на хипервизора и да промени хипервизора.

Тъй като SMI манипулаторът обикновено се предоставя от различен разработчик, тогава операционната система и SMM обработващият код, работещ с по-висока привилегия, имат достъп до OS / Hypervisor Memory & Resources. Експлоатационните уязвимости в SMM кода водят до компрометиране на Windows OS / HV & Virtualization Security (VBS). За да помогне за изолирането на SMM, AMD въвежда модул за защита, наречен AMD SMM Supervisor, който се изпълнява непосредствено преди контролът да бъде прехвърлен на SMI обработващия файл след възникване на SMI. AMD SMM Supervisor пребивава в сервизния блок на AMD DRTM и целта на AMD SMM Supervisor е:
  • Блокирайте SMM да не може да променя паметта на Hypervisor или OS. Изключение е малък координатен буфер за комуникация между двете.
  • Предотвратете SMM да въвежда нов SMM код по време на изпълнение
  • Блокирайте SMM достъпа до DMA, I / O или регистри, които могат да компрометират Hypervisor или OS
To summarize, AMD will continue to innovate and push boundaries of security in hardware, whether it is DRTM service block to help protect integrity of the system, the use of Transparent Secure Memory Encryption (TSME) to help protect data or Control-flow Enforcement technology (CET) to help prevent against Return Oriented Programming (ROP) attacks. Microsoft is a key partner for AMD and as part of this relationship there is a joint commitment with the Secured-core PC initiative to improve security within software and hardware to offer a more comprehensive security solution to customers. Sources: Microsoft Secured-Core, AMD