萊迪思最近與合作伙伴AMI聯(lián)合舉辦了一場(chǎng)安全研討會(huì)，主要探討了計(jì)算和數(shù)據(jù)中心應(yīng)用中的固件和供應(yīng)鏈保護(hù)等網(wǎng)絡(luò)安全話(huà)題。

近些年來(lái)，隨著網(wǎng)絡(luò)攻擊愈加快速精準(zhǔn)、唯利是圖，全球供應(yīng)鏈環(huán)境也越來(lái)越脆弱。人們熟知的最為常見(jiàn)的安全威脅就是勒索軟件攻擊，即封鎖企業(yè)的系統(tǒng)，直到他們支付一定數(shù)額的贖金為止。根據(jù)2021年IBM Cyber Resilient Organization的研究，61%的受訪者曾遭受勒索軟件攻擊并支付贖金。這表明公司不僅要具備網(wǎng)絡(luò)安全機(jī)制，還要有網(wǎng)絡(luò)保護(hù)恢復(fù)能力，才能在發(fā)生攻擊時(shí)快速應(yīng)對(duì)。

網(wǎng)絡(luò)安全為網(wǎng)絡(luò)保護(hù)恢復(fù)的實(shí)現(xiàn)提供了基礎(chǔ)。平臺(tái)固件保護(hù)恢復(fù)（PFR）是網(wǎng)絡(luò)保護(hù)恢復(fù)在計(jì)算領(lǐng)域的一種特定形態(tài)。也就是說(shuō)PFR是計(jì)算系統(tǒng)在遭受攻擊時(shí)賴(lài)以保護(hù)自身以及維持自身正常運(yùn)轉(zhuǎn)的一種機(jī)制。

此次研討會(huì)著重探討了NIST 800-193 PFR規(guī)范和可信計(jì)算工作組的網(wǎng)絡(luò)恢復(fù)技術(shù)指南（CyRes）等新興安全標(biāo)準(zhǔn)如何影響系統(tǒng)保護(hù)解決方案的開(kāi)發(fā)。歸根結(jié)底，這些標(biāo)準(zhǔn)提出了系統(tǒng)要具備網(wǎng)絡(luò)保護(hù)恢復(fù)機(jī)制的三個(gè)關(guān)鍵功能：保護(hù)、檢測(cè)和恢復(fù)。如下圖所示，這些功能相互配合，在網(wǎng)絡(luò)攻擊的各個(gè)階段保障系統(tǒng)安全。

大多數(shù)組織都知道需要為所有的關(guān)鍵固件提供強(qiáng)有力的保護(hù)，但是很多情況下卻忽略了檢測(cè)和恢復(fù)功能。由于系統(tǒng)中存在大量容易突破的固件組件，因此需要通過(guò)多個(gè)通道對(duì)它們進(jìn)行動(dòng)態(tài)的監(jiān)控，同時(shí)還要能夠在出現(xiàn)威脅時(shí)快速響應(yīng)。萊迪思Sentry^TM作為一款即用型PFR解決方案可實(shí)現(xiàn)實(shí)時(shí)動(dòng)態(tài)的監(jiān)控功能。其他主要基于微控制器的解決方案缺乏這種實(shí)時(shí)的監(jiān)控功能，且由于響應(yīng)時(shí)間只有微秒級(jí)別，其安全性也有所不足。

這三大功能是網(wǎng)絡(luò)保護(hù)恢復(fù)/PFR的核心所在，此外還需要強(qiáng)大的硬件可信根（HRoT）來(lái)確保這些功能正常運(yùn)行，讓系統(tǒng)在最初就具備可信度。萊迪思MachXO3D?和Mach?-NX系列FPGA均為符合CyRes標(biāo)準(zhǔn)的硬件可信根。它們包括了專(zhuān)用的硬核安全引擎，可以通過(guò)唯一的不可更改的ID進(jìn)行驗(yàn)證和測(cè)試。

本次研討會(huì)還探討了萊迪思SupplyGuard?服務(wù)如何利用鎖定密鑰和保護(hù)碼，在供應(yīng)鏈的各個(gè)階段減少勒索軟件的“攻擊面”，從而為低價(jià)值的攻擊載體提供與高價(jià)值攻擊載體同樣級(jí)別的連續(xù)的安全保障。

萊迪思的生態(tài)系統(tǒng)合作伙伴AMI展示了“AMI的平臺(tái)可信根解決方案：Tektagon? XFR”，這是一款與萊迪思聯(lián)合開(kāi)發(fā)的無(wú)CPU主機(jī)芯片解決方案。

AMI強(qiáng)調(diào)，日益復(fù)雜的網(wǎng)絡(luò)威脅態(tài)勢(shì)要求系統(tǒng)滿(mǎn)足PFR標(biāo)準(zhǔn)，并介紹了Tektagon XFR如何提供連續(xù)的運(yùn)行時(shí)監(jiān)控功能以保護(hù)平臺(tái)安全。

作為與萊迪思合作推出的解決方案，Tektagon XFR使用萊迪思FPGA實(shí)現(xiàn)獨(dú)立的HRoT，為客戶(hù)帶來(lái)最大程度的設(shè)計(jì)靈活性。單獨(dú)來(lái)看，萊迪思Sentry解決方案和AMI Tektagon XFR都能夠?qū)崿F(xiàn)PFR。但是，如果客戶(hù)只使用Sentry解決方案，他們需要自行定制固件、基板管理控制器（BMC）固件和定制BIOS。如果他們只有AMI的Tektagon XFR，則需要自己做定制邏輯。而作為聯(lián)合解決方案，其整體設(shè)計(jì)可實(shí)現(xiàn)先進(jìn)的PFR功能和極高的靈活性，減輕繁重的設(shè)計(jì)負(fù)擔(dān)，有助于縮短上市時(shí)間，并提供全面的安全特性，最好地滿(mǎn)足客戶(hù)平臺(tái)設(shè)計(jì)的需求。

Tektagon XFR的其他主要特性包括恢復(fù)鏡像的安全固件更新和DC-SCM模塊實(shí)現(xiàn)功能。服務(wù)器的主板設(shè)計(jì)越來(lái)越傾向于采用DC-SCM來(lái)取代傳統(tǒng)的單塊主板設(shè)計(jì)，從而讓CPU/存儲(chǔ)器和安全控制解決方案實(shí)現(xiàn)獨(dú)立的開(kāi)發(fā)和創(chuàng)新。

歡迎繼續(xù)關(guān)注萊迪思下個(gè)季度的安全主題研討會(huì)。