Mart’ta Google Cloud Next’17’de ilan edilen Google Titan güvenlik yongası, Google’ın güvenlik kimlik bilgilerini açma ve rakipleriyle olan boşluğu daraltma girişiminin başka bir blok olduğunu - özellikle de AWS ve Microsoft Azure. Çipi veri merkezlerinde bir süredir test ettikten sonra, Google yakın zamanda teknik detaylarını açıkladı. Öyleyse, Google’ın Titan güvenlik yongası haberiyle karşılaşıyorsanız ve bunun neyle ilgili olduğunu merak ediyorsanız. Peki, bu makalede, Google Titan güvenlik yongasının ne olduğu, nasıl çalıştığı ve bunun hakkında bilmeniz gereken diğer her şeyi gözden geçireceğim.
Titan Güvenlik Yongası Nedir?
En basit ifadeyle, Titan, hükümetin donanıma müdahale edip donanım yazılımı implantı yerleştirdiği saldırı türlerini önleyen bir güvenlik yongasıdır. Şu anda, saldırganlar bunu temel olarak işletim sistemi savunmasının üstesinden gelmek için donanımsal güvenlik açıklarını araştırmak ve işletim sistemi yeniden yüklendikten sonra bile devam edebilecek kök setleri yükleyerek yapıyorlar.
Titan, müşterilerin kod ve verilerini korumak amacıyla tasarlanan, inşa edilen ve işletilen Google Cloud Platform'un (GCP) bir parçasıdır . Çip, sistemlerin daima bilinen son iyi durumdan başlatılmasını sağlamak için oluşturulan güvenli, düşük güçlü bir mikro denetleyicidir . Çip, küçük bir saplama küpesinin boyutunda ve Google'ın büyük veri merkezlerini dolduran birçok bilgisayar sunucusuna ve ağ kartına zaten kurulmuş durumda.
Çip ilk kez bu yılın Mart ayında tekrar piyasaya sürüldüğünde, Google işlemciyi her birisine bireysel bir kimlik vermek için kullanmayı planlıyordu. Bugün itibariyle, Google şu anda Google Arama, Gmail ve YouTube gibi kendi servislerini çalıştıran sunucuları korumak için Titan güvenlik yongalarını kullanıyor.
Titan Güvenlik Yongası Ne Yapar?
Google’ın veri merkezlerindeki makineler CPU, RAM, BMC, Ağ Arabirim Denetleyicisi (NIC), önyükleme ürün yazılımı, önyükleme ürün yazılımı flaşı ve kalıcı depolama dahil birçok bileşene sahiptir. Bu bileşenler, makineleri önyüklemek için birbirleriyle sistematik olarak etkileşime girer. Bu önyükleme işlemini korumak için, Google, istenen güvenlik önlemlerini sağlamak için kimliği doğrulanmış bir önyükleme ürün yazılımı ve bir önyükleyici ile birlikte dijital imzalı önyükleme dosyalarının birleşimine dayanan güvenli önyükleme kullanır.
Titan, yalnızca bu beklentileri karşılayan değil, aynı zamanda iki önemli ek güvenlik özelliği de sağlayan - iyileştirme ve ilk talimat bütünlüğü gibi özel olarak tasarlanmış bir çiptir. Çip, ana CPU ile SPI veriyolu üzerinden iletişim kurar ve BMC veya PCH gibi bileşenlerin önyükleme ürün yazılımı flaşı arasında araya girer. Bu, önyükleme belleniminin her baytını gözlemlemesini sağlar.
Titan'ın vaat ettiği güvenlik önlemlerini almak için birkaç bileşenden oluşur . Çıkıntılı olanlardan bazıları aşağıda belirtilmiştir.
- Güvenli bir uygulama işlemcisi
- Şifreli bir ortak işlemci
- Bir donanım rasgele sayı üreteci
- Gelişmiş bir anahtar hiyerarşisi
- Gömülü statik RAM (SRAM)
- Gömülü bir flaş
- Salt okunur bir bellek bloğu
- Seri Çevre Birim Arabirimi (SPI) veriyolu
- Süpürgelik Yönetim Denetleyicisi (BMC) veya Platform Denetleyici Hub'ı (PHC)
Titan Security Chip Nasıl Çalışıyor?
Titan güvenlik yongasının çalışmasındaki ilk adım , işlemcileri tarafından kod çalıştırılmasıdır . Bu, ana makinenin çalıştırılmasından hemen sonra yapılır. Ardından imalat işlemi, dolaylı olarak güvenilir olan ve her yonga sıfırlamasında onaylanan değişmez bir kod bırakır. Daha sonra, çip, hafızasına yerleşik bir kendi kendine test çalıştırır. Bu, ROM da dahil olmak üzere tüm belleğin değiştirilmediğinden emin olmak için her önyüklemede gerçekleşir.
Bir sonraki adım Titan'ın ürün bilgisini yüklemektir . Bu bellenim, yonga üzerindeki flash belleğe gömülmüş olmasına rağmen, Titan önyükleme ROM'u buna çok güvenmiyor. Bunun yerine, Titan'ın ürün yazılımını genel anahtar şifrelemesi kullanarak doğrular ve bu doğrulanmış kodun kimliğini Titan'ın anahtar hiyerarşisine karıştırır. Son olarak, boot ROM doğrulanmış ürün bilgisini yükler.
Titan yongası kendi yazılımını güvenli bir şekilde açtığında, ana bilgisayarın önyükleme yazılımı yazılımının flash içeriği ortak anahtar şifrelemesi kullanılarak doğrulanır . Bu doğrulama işlemi devam ederken, Titan PCH / BMC erişimini önyükleme ürün yazılımı flaşına aktarabilir. Şimdi işlem nihayet tamamlandığında, çip, makinenin geri kalanını sıfırlamak için bir sinyal gönderir. Bu sinyal, Google Cloud Platform'a, ilk çalıştırma işleminden itibaren makinelerinde hangi önyükleme ürün yazılımı ve işletim sisteminin önyüklendiği hakkında bilgi sağlar. Google Cloud Platform ayrıca, önyükleme üretici yazılımının ilk talimatından önce alınmış olabilecek mikro kod yamalarını da öğrenir.
Son olarak, Google tarafından doğrulanmış önyükleme yazılımı , makineyi yapılandırır ve önyükleyiciyi yükler . Bu daha sonra işletim sistemini doğrular ve yükler.
Neden Titan Security Chip?
Çoğu ağ donanımı ve sunucusu yurtdışında yapıldığı için, Google Cloud Platform için çalışan veri merkezi operatörleri, nakliye işleminden önce bu cihazları tehlikeye atan ulus devlet korsanlarının veya siber suçluların olasılığı konusunda endişeliydi. Google’ın Titan çipi, bulut bilişim donanımına ek güvenlik sağlayan sürekli kontrolleriyle bu endişeleri giderir . Bu, şirketin tedarik zincirinde, aksi takdirde sahip olmayacakları bir anlayış seviyesini korumasını sağlar.
Titan güvenlik yongasını bilgisayar sunucularına kurmanın bir başka nedeni de yeniden yazılabilir bellenim yongalarını hedef alan yeni firmware saldırıları . Bunlar BIOS yongaları veya sabit sürücü denetleyicileri olabilir.
Titan Güvenlik Yongası Google’dan Nasıl Yararlanır?
Titan güvenlik yongasının Google’a fayda sağlamanın iki temel yolu vardır. Birincisi, güvenlik bakış açısı, ikincisi ise rekabetçi bakış açısıdır.
Güvenlik açısından, Titan çipi Google’a şu üç yoldan yararlanmaktadır:
- Bir makinenin güçlü bir kimliğini oluşturan donanım tabanlı bir güven kökü sağlar . Bu, Google’ın önemli güvenlik kararları almasına ve sistemin sağlığını doğrulamasına yardımcı olur. Sonuç olarak, bu, yapılan değişikliklerin geri dönüşü olmayan bir denetim izi oluşturmasını sağlar.
- Kurcalanmaya karşı açık oturum açma özellikleri, kök erişimine sahip bir içerideki kişi tarafından gerçekleştirilen eylemleri belirlemeye yardımcı olur.
- Çip, ürün yazılımı ve yazılım bileşenlerinin bütünlüğünü doğrulama sunar.
Rekabet perspektifinden bakıldığında, Google Cloud Platform şu anda% 7 oranında küresel bir bulut pazar payına sahiptir. Bu, Amazon Web Hizmetleri (AWS) (% 41 pazar payı) ve Microsoft Azure (% 13 pazar payı) beğenilerinde üçüncü sırada yer alıyor. Yeni Titan çipi ile Google, kendisini rakiplerinden ayırmak ve güvenlik odaklı şirketleri bulut bilişim platformuna getirmek istiyor. Gartner'e göre, dünya çapında bulut bilişim pazarı yaklaşık 50 milyar dolar değerinde olduğundan bu önemli bir harekettir.
Bunun bir sonucu olarak, Google ayrıca Titan'a dayanan uçtan uca bir şifreleme kimliği sistemi geliştirmiştir. Bu, veri merkezlerinde çeşitli şifreleme işlemleri için güvenin temeli olarak da işlev görebilir.
Titan Güvenlik Yongası Gerçekten Google'a Yardım Edecek mi?
Google Cloud Platform şu anda rakiplerinin, özellikle de AWS'nin gerisinde kalırken, Titan güvenlik yongası, onlar için çok iyi bir ses çıkarıyor. Etkileyici test sonuçlarıyla, çipin Google Cloud Services'ın uzun vadede diğerlerinden uzak durmasına yardımcı olup olmayacağına karar verildi. Şahsen ben de işlerin nasıl sonuçlanacağını görmekle çok ilgileniyorum. Ya sen? Bu konudaki düşüncelerinizi aşağıdaki yorumlar bölümünde bize bildiriniz.