登录   注册

Shielded VMs:GCP(谷歌云平台)的加固服务

安全 xlch 2个月前 (08-09) 61次浏览 0个评论 扫描二维码

HardenedLinux 写道 “近日,GCP(谷歌云平台)终于推出了VM加固服务项目Shielded VM的beta版本,目前Shielded VMs提供了基于UEFI v2.3.1的verifiedboot和作为measuredboot方案的vTPM实现,vTPM实现了TPM v2.0规范以及通过了FIPS 140-2 Level 1认证,GCP使用了自己研发的芯片TITAN作为物理机的信任根,TITAN项目除了解决传统的固件攻击平面问题外也把通用TPM存在的LPC总线中间人攻击给一并解决掉了,配合硬件信任根以及Hypervisor(类似coreos的定制实现),GCP的用户可以方便的在管理平台上开启vTPM后在Guest VM中使用vTPM完成整个VM启动过程的可信链条构建,用户可以定制自己的策略比如一旦有固件或者内核镜像完整性不满足健康基线则停掉VM展开取证工作或者调查是否因为运维失误导致的故障。自从2013年开始,不少人认为云基础架构安全中remote attestation(远程证明)和Enclave(飞地计算)是刚需,Google为了满足前者开源了go-tpm作为TPM的实现参考以帮助用户更好的融入GCP的基础设施安全,对后者的自由软件实现的推动主要体现在Asylo框架的开源,如果目标是Enclave的通用框架其工程复杂度可见一斑,以Intel SGX为例,不同的实现其安全防护的侧重点完全不同,HardenedLinux社区完全赞同可信计算顶级团队ITL关于Intel SGX的评估。除此之外,GCP对于基础架构安全的设计已经不局限在常规固件领域,对于私有固件和外设的风险也有考量包括BMC,Intel ME以及OEM UEFI等,希望GCP未来能开源更多的项目让整个自由软件/固件社区收益,HardenedLinux社区的hardenedboot也会持续进化不久的将来会完成TPMv2的迁移。


绚丽彩虹 , 版权所有丨如未注明 , 均为原创丨未经允许,禁止转载
喜欢 (0)
[pay3@xlch8.cn]
分享 (0)

您必须 登录 才能发表评论!