amd annoncerer integration med Microsofts sikrede kerne pc-initiativ - Amd

AMD annoncerer integration med Microsofts Secured-Core PC Initiative

In today's world, computer security is becoming very important due the exponential increase in malware and ransomware attacks. Various studies have shown that a single malicious attack can cost companies millions of dollars and can require significant recovery time. With the growth of employees working remotely and connected to a network considered less secure than traditional corporate network, employee's computer systems can be perceived as a weak security link and a risk to overall security of the company. Operating System (OS) and independent hardware vendors (IHV) are investing in security technologies which will make computers more resilient to cyberattacks. Microsoft annoncerede for nylig deres Secured-core PC-initiativ, der er afhængig af en kombineret indsats fra OEM-partnere, siliciumleverandører og dem selv for at levere dybt integreret hardware, firmware og software til forbedret enhedssikkerhed. Som en førende siliciumudbyder på pc-markedet vil AMD være en nøglepartner i denne indsats med kommende processorer, der er sikret-pc-kompatibel.

I et computersystem udføres firmware på lavt niveau og boot loader oprindeligt for at konfigurere systemet. Derefter overdrages ejerskab til systemet til operativsystemet, hvis ansvar er at styre ressourcerne og at beskytte systemets integritet.

I nutidens verden bliver cyberangreb mere og mere sofistikerede, hvor trusler mod lavt niveau firmware bliver mere fremtrædende. Med dette skiftende paradigme inden for sikkerhedstrusler er der et stærkt behov for at give slutkunder en integreret hardware- og softwareløsning, som tilbyder omfattende sikkerhed til systemet. Det er her Microsoft Secured-core PC-initiativet kommer ind i billedet. En Secured-core PC giver dig mulighed for at starte sikkert op, beskytte din enhed mod firmwaresårbarheder, beskytte operativsystemet mod angreb og forhindre uautoriseret adgang til enheder og data med avancerede adgangskontroller og godkendelsessystemer.

AMD spiller en vigtig rolle i aktiveringen af ​​Secure-Core PC, da AMDs hardware-sikkerhedsfunktioner og tilhørende software hjælper med at beskytte firmwareangreb på lavt niveau. Inden vi forklarer, hvordan AMD muliggør Secured-Core PC i næste gen AMD Ryzen-produkter, lad os først forklare nogle sikkerhedsfunktioner og kapaciteter ved AMD-produkter.

skind
SKINIT-instruktionen hjælper med at skabe en 'rod af tillid', der starter med en oprindeligt ikke-betroet betjeningstilstand. SKINIT initialiserer processoren igen for at etablere et sikkert eksekveringsmiljø for en softwarekomponent kaldet den sikre læsser (SL) og starter udførelsen af ​​SL på en måde, der hjælper med at forhindre manipulation. SKINIT udvider den hardware-baserede tillidsrot til den sikre læsser.

Secure Loader (SL)
AMD Secure Loader (SL) er ansvarlig for validering af platformkonfigurationen ved at forhøre hardware og anmode om konfigurationsoplysninger fra DRTM-tjenesten.

AMD Secure Processor (ASP)
AMD Secure Processor er dedikeret hardware tilgængelig i hver SOC, som hjælper med at aktivere sikker opstart fra BIOS-niveau i Trusted Execution Environment (TEE). Pålidelige applikationer kan udnytte industristandard API'er for at drage fordel af TEEs sikre eksekveringsmiljø.

AMD-V med GMET
AMD-V er sæt hardwareudvidelser, der muliggør virtualisering på AMD-platforme. Guest Mode Execute Trap (GMET) er en siliciumpræstationsaccelerationsfunktion tilføjet i næste gen Ryzen, som sætter hypervisor i stand til effektivt at håndtere kodeintegritetskontrol og hjælpe med at beskytte mod malware.

Lad os nu forstå det grundlæggende koncept om firmwarebeskyttelse i en Secured-core PC. Firmware og bootloader kan indlæses frit med den antagelse, at disse er ubeskyttet kode, og vel vidende, at systemet kort efter lanceringen vil overgå til en betroet tilstand med hardware, der tvinger lavt niveau firmware ned i en velkendt og målt kodesti. Dette betyder, at firmwarekomponenten autentificeres og måles af sikkerhedsblokken på AMD-silicium, og målingen gemmes sikkert i TPM til yderligere brug af operativsystemer, herunder verifikation og attestering. På ethvert tidspunkt, efter at systemet har startet i OS, kan operativsystemet anmode om AMD-sikkerhedsblok ommåling og sammenligning med gamle værdier, før den udføres med yderligere operationer. På denne måde kan operativsystemet hjælpe med at sikre integriteten af ​​systemet fra start til kørselstid. Firmwarebeskyttelsesstrømmen beskrevet ovenfor håndteres af AMD Dynamic Root of Trust Measuring (DRTM) serviceblok og består af SKINIT CPU-instruktion, ASP og AMD Secure Loader (SL). Denne blok er ansvarlig for at skabe og opretholde en kæde af tillid mellem komponenter ved at udføre følgende funktioner:

Mål og autentificer firmware og bootloader
At samle følgende systemkonfiguration til OS, som igen validerer dem i forhold til dets sikkerhedskrav og gemmer information til fremtidig verifikation.
  • Fysisk hukommelseskort
  • PCI-konfigurationsrumplacering
  • Lokal APIC-konfiguration
  • I / O APIC-konfiguration
  • IOMMU-konfiguration / TMR-konfiguration
  • Power management konfiguration
Selvom ovenstående metoder hjælper med at beskytte firmware, er der stadig en angrebsflade, der skal beskyttes, System Management Mode (SMM). SMM er en speciel CPU-tilstand i x86-mikrokontrollere, der håndterer strømstyring, hardwarekonfiguration, termisk overvågning og alt andet, som producenten finder nyttig. Hver gang der anmodes om en af ​​disse systemhandlinger, aktiveres en afbrydelse (SMI) ved kørselstid, der udfører SMM-kode installeret af BIOS. SMM-kode udføres i det højeste privilegieniveau og er usynlig for operativsystemet. På grund af dette bliver det attraktivt mål for ondsindet aktivitet og kan potentielt bruges adgangshypervisorhukommelse og ændre hypervisoren.

Da SMI-behandleren typisk leveres af en anden udvikler, har operativsystemet og SMM-handlerkoden, der kører med et højere privilegium, adgang til OS / Hypervisor Memory & Resources. Udnyttelige sårbarheder i SMM-kode fører til kompromis med Windows OS / HV & Virtualization Based Security (VBS). For at hjælpe med at isolere SMM introducerer AMD et sikkerhedsmodul kaldet AMD SMM Supervisor, der udføres umiddelbart før kontrol overføres til SMI-behandleren, efter at der er opstået en SMI. AMD SMM Supervisor er bosiddende i AMD DRTM-serviceblokke, og formålet med AMD SMM Supervisor er at:
  • Bloker SMM fra at være i stand til at ændre Hypervisor- eller OS-hukommelse. En undtagelse er en lille koordinatkommunikationsbuffer mellem de to.
  • Undgå, at SMM introducerer ny SMM-kode på kørselstidspunktet
  • Bloker SMM for at få adgang til DMA, I / O eller registre, der kan kompromittere Hypervisor eller OS
To summarize, AMD will continue to innovate and push boundaries of security in hardware, whether it is DRTM service block to help protect integrity of the system, the use of Transparent Secure Memory Encryption (TSME) to help protect data or Control-flow Enforcement technology (CET) to help prevent against Return Oriented Programming (ROP) attacks. Microsoft is a key partner for AMD and as part of this relationship there is a joint commitment with the Secured-core PC initiative to improve security within software and hardware to offer a more comprehensive security solution to customers. Sources: Microsoft Secured-Core, AMD