提到网络安全或 IT 安全,大多数人会立即想到基于软件的威胁和防护,例如勒索软件、病毒或其他形式的恶意软件,鲜有人会提及硬件安全的重要性。
虽然业界已经开发出一些硬件安全标准,例如安全启动和受信任的平台模块(TPM)可保护计算机系统在启动期间不会被篡改或受到损害;基于硬件的加密广泛用于保护硬盘驱动器和网络上的数据。但是,面对日益复杂的安全威胁,发展速度严重滞后的硬件安全领域亟待一场技术革命。
今天,越来越多的企业开始意识到网络安全不仅仅是软件问题,只有软件安全和硬件安全的均衡发展和集成,才能达成最佳安全态势。
而开源项目将在硬件安全 “对齐” 软件安全的过程中发挥关键作用。
软件安全的硬基础:指令集架构
成熟和新兴的指令集架构(ISA)提供了强大且前景广阔的基于硬件的安全技术。某些 ISA 包含用于缓解漏洞和攻击的内置安全功能,例如基于硬件的加密、内存保护和数据执行保护。
目前,一些流行的 ISA 已经被广泛使用,例如 x86 ISA。Arm 也提供 ISA 级别的安全功能,使其成为移动设备的首选 ISA。RISC-V 是一种较新的 ISA,作为完全免费和开源的选项脱颖而出,由于其作为研究平台的灵活性和功能,正在全球快速流行。
选择 ISA 的组织应考虑其与其他安全工具和软件的兼容性,以确保安全态势一致。
CHERI 正推动一场网络安全革命
CHERI 是剑桥大学和 SRI 国际联合开发的一个令人兴奋的硬件开源安全项目。CHERI 涵盖多个 ISA,包括 CHERI MIPS 和 CHERI Arm。
CHERI 因其独特的保护模型而受到关注,该模型引入了硬件强制的边界和控制对内存区域的访问的权限。CheriBSD 是开放 FreeBSD 的一个功能扩展,实现了 CHERI ISA 的内存保护和软件划分特性。
CHERI 目前仍处于研发阶段,但涌现的一些原型已经让人看到希望。Arm 的 Morello 平台是目前最先进的 CHERI 原型,将 CheriBSD 的最新版本与高性能内核相结合以创建强大的片上系统和开发板。该平台为软件开发提供了内存安全的桌面环境。
此外,开源 RISC-V 的 FPGA 已经实现,RISC-V 的 CHERI 标准化工作也正在进行中。包括谷歌、微软和许多其他公司一直在积极探索 CHERI-RISC-V 和 Morello 平台。
CHERI 和类似项目的出现正孕育着 IT 安全领域的一场革命。CHERI 提供的内存保护和数据访问控制可以使组织对攻击和漏洞具有广泛的免疫力。缓冲区溢出和释放后使用攻击等基于内存的攻击是可以预防的。
CHERI 类型的项目还提供高性能的分段功能,可满足阻止攻击者访问敏感数据的关键需求。
开源加速硬件安全发展
开源项目固有的协作和知识共享机制加速了新的和现有的硬件安全技术的发展。源代码和硬件设计开放给所有开发人员和安全专家审查、测试和报告漏洞,共同修补和改进,基于硬件的开源安全创新具有闭源开发无法比拟的创造性贡献和测试水平。
例如 CheriBSD(FreeBSD OS 的改编版本)这样的开源类 Unix 操作系统为硬件安全解决方案的开发提供了关键动力,有助于推动硬件安全的标准化和跨平台、跨厂商协作,让各方可以共同解决硬件安全问题,推动人才培训和审查水平,提高整个行业的硬件安全技术和创新能力。
硬件安全的作用日益增强
随着安全威胁的复杂性及其危险性不断增加,网络攻击向物理网络空间的各个角落快速渗透,企业必须利用包括软件、硬件、人员、技术、流程在内的一切可用的保护措施来应对这一日益严峻的挑战。
新兴的基于硬件的安全解决方案(如 CHERI 和其他新的开源 ISA)为企业构建完整的基础安全架构提供了更多更好的选择。作为全面安全策略的一部分,这些工具代表了未来立体化企业安全态势的强度和可能性的一次重大飞跃。
————————————————
原文作者:一颗小胡椒
转自链接:https://www.wangan.com/p/11v751fe10476a05
版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。
通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室 邮政编码:100080
电话:010-62565314 刘莉 京ICP证16064523号-2 版权所有:北京软件和信息服务业协会
技术支持:中科服 内容支持:鑫网安