Intel’s news source for media, analysts and everyone curious about the company.

Uma abordagem Zero Trust para a arquitetura de silício

Intel apresenta conjunto robusto de tecnologias que aumentam segurança e suportam estratégia Zero Trust.

Por Martin Dixon

A Intel tem como meta conceber produtos mais seguros, desde CPUs e XPUs até o software que permite que nossa inovação contínua realize tarefas de computação cada vez maiores e mais complexas. Somos ousados e ambiciosos em nossa promessa de segurança e investimos em pessoas, processos e produtos incomparáveis para integrar a segurança na forma como trabalhamos e nos nossos projetos. É a nossa busca incessante de construir as melhores soluções que vem fortalecendo a confiança com nossos clientes e parceiros.

Desde que a Forrester Research Inc. cunhou o termo pela primeira vez em 2010, o Zero Trust tornou-se um tópico quente no mundo da segurança de rede.  Este modelo de segurança da confiança que nossos clientes têm nos nossos produtos.

O Zero Trust refere-se a uma abordagem proativa e onipresente da segurança de rede projetada para minimizar a incerteza. Ela muda o paradigma da confiança baseada na conectividade ou proximidade física um modelo que envolve sempre a autenticação de todos os acessos.  O modelo Zero Trust permitiu o trabalho de casa sem necessidade de ingressar em uma rede privada virtual (VPN).  Resumindo, ninguém tem acesso automaticamente, de dentro ou fora da rede, e a verificação é necessária para todos que tentam obter acesso aos recursos da rede.

Mudando o jogo com hardware

Quando o assunto é hardware, muitos paradigmas de segurança ainda são baseados na conectividade física. Ou seja, uma vez que um acesso está em um barramento de hardware, geralmente é considerado legítimo.  Os designers de hardware normalmente não são ensinados a questionar mensagens.  Assume-se que um bit ou mensagem recebida seja proveniente da parte confiável.  À medida que os invasores se tornam mais sofisticados em ataques físicos, essas suposições precisam ser questionadas, assim como o paradigma da autenticação na rede já foi questionado.

No nível do sistema, a Intel e outras empresas do setor contribuíram com tecnologia como o protocolo de segurança e modelo de dados DMTF (SPDM) O SPDM permite a autenticação e identificação de hardware e a medição de firmware. O modelo permite a colaboração segura entre elementos em hardware de forma semelhante a como TLS e HTTPS protegem as transações da web. Como o SPDM é mais amplamente adotado, os componentes do sistema podem se autenticar mutuamente e estabelecer conexões seguras. A Intel também promoveu PCI-SIG e Compute Express Link para adicionar Integridade e Criptografia de Dados (IDE) que, quando implementado, ajudará a proteger links físicos para vários aceleradores, como as GPUs.

No entanto, acredito que os conceitos de Zero Trust não devem ficar limitados à rede ou sistema.  Em vez disso, eles podem ser aplicados em todo o interior do silício. Até nos referimos à infraestrutura no chip como uma rede ou “network on a chip”.

Na Intel, temos tecnologias que permitem identificadores imutáveis dentro dos nossos designs. Cada transação em nossas malhas internas conta com um identificador gerado por hardware. Além disso, como os projetos se desagregam em chips, a autenticação mútua é necessária entre os dies dentro de um pacote.  Internamente, nos referimos a um conjunto de princípios de segurança que inclui a máxima “Não Confie em Ninguém”, que é a forma de nos relacionarmos com a arquitetura Zero Trust.

A seguir, aproveito para listar nossos outros princípios. O desenvolvimento de hardware tem características diferentes do software, mas existem muitos pontos em comum para os princípios de segurança. Alguns dos cálculos mudam devido à latência e despesas de fabricação de semicondutores. A reconstrução de um software pode levar de horas a dias, mas a reconstrução de um semicondutor pode levar de semanas a meses. Isso pode influenciar as opiniões contra os mecanismos de segurança que desejam bloquear a depuração e o acesso.

  • Erre com segurança: Certifique-se de que as condições de erro não deixem segredos por aí. O anti-padrão clássico em hardware é o chamado ataque de inicialização a frio, em que os segredos são deixados na memória após uma reinicialização.
  • Mediação completa: Verifique todos os acessos para confirmar a legitimidade. No hardware, isso pode significar fazer os acessos à memória passarem por verificações de gerenciamento de memória apropriadas no caminho do aplicativo para a memória e vice-versa.
  • Regra do privilégio mínimo: Minimize os privilégios de todos os agentes do hardware. No hardware, muitas vezes é atraente dar privilégios adicionais aos agentes, só para garantir. Normalmente, a justificativa é o custo de um erro que causa uma nova fabricação. No entanto, é importante minimizar o “aproveitador” de privilégios.
  • Separação de funções: Faça com que os agentes tenham propósitos bem definidos nos designs. Como o hardware é caro, muitas vezes parece boa ideia sobrecarregar um agente com várias funções isso complica a validação e o raciocínio em relação à postura de segurança.
  • Mecanismos pouco comuns: Separe as funções de segurança das demais. É um padrão de projeto comum ter um barramento de utilitário compartilhado que transporta mensagens de banda lateral entre os projetos devido ao custo dos fios on-die. Se esse mesmo barramento transportar mensagens e dados confidenciais do usuário, acaba se tornando um ponto de ataque.
  • Proteja o elo mais fraco: Proteja as partes mais fracas do design. No hardware, geralmente é o processo de depuração. Dada a evolução da depuração funcional e dos testes estruturais na indústria, os recursos de depuração de hardware geralmente solicitam acesso a quase todos os transistores em um projeto. Isso está em desacordo com os mecanismos de segurança que não desejam obter acesso a partes ou ao design como um todo.
  • Defesa a fundo: Construa várias paredes. Isso pode significar bloquear o acesso a um recurso, mesmo que pareça que ele deveria ficar aberto. Por exemplo, se um chip precisar ser depurado, as chaves de produção podem ficar inacessíveis.
  • Simplicidade: Invista em arquiteturas mais simples. Mecanismos mais simples são mais difíceis de criar, mas mais fáceis de implementar, validar e proteger. Trata-se de uma verdade universal tanto para hardware quanto para software.
  • Aceitabilidade psicológica: Torne os mecanismos de segurança mais fáceis de usar. Se a arquitetura de segurança for muito onerosa, será tentador para os designers de hardware dar aos blocos de hardware poderes de superusuário.

Na prática, aplicamos esses princípios ao desenvolvimento de tecnologias de segurança fornecidas por nossos produtos que melhoram a segurança básica, a proteção de dados e carga de trabalho e a confiabilidade do software. Como resultado, nossos clientes recebem tecnologias robustas que melhoram sua postura de segurança e oferecem suporte a uma infraestrutura Zero Trust.

A ideia da segurança fundamental é trazer os componentes em uma configuração conhecida e segura e ter todos os ganchos necessários para mantê-los assim. Para inicializar com segurança, a Intel possui uma série de recursos arquitetônicos, com os itens de demonstração sendo os mecanismos de segurança encontrados nas plataformas de cliente e de dados.  Os mecanismos de segurança garantem que cada parte tenha sua própria identidade única que não pode ser forjada. Esses mecanismos fornecem serviços, incluindo aprovação de depuração, conhecimento de privilégios e mediação para derivar chaves.  Os serviços estão alojados em um subsistema seguro que tem exatamente uma função: segurança.

Assim que inicializarmos com segurança e tivermos o sistema em bom estado, é hora de executar o trabalho do usuário. É aqui que o Zero Trust pode ser aplicado à proteção de dados e das cargas de trabalho. Hoje temos  os recursos Intel® Software Guard Extensions (Intel® SGX), Intel® Virtualization Technology e outras tecnologias projetadas para proteger dados e memória da incerteza do sistema operacional e outros aplicativos.

Depois que o sistema está funcionando de modo confiável e uma camada de proteção de dados e memória está instalada, a realidade interfere. A maioria dos aplicativos quer falar com o mundo. A confiabilidade do software não é estritamente segurança, mas os malfeitores querem invadir os sistemas por meio de algo que pode ser dimensionado.  Isso significa software. É aqui que ferramentas habilitadas por hardware, como Intel® Control-Flow Enforcement Technology e Intel® Threat Detection Technology entram em ação para melhorar a resiliência do software diante de atividades dolosas.

Essas são apenas algumas das inovações habilitadas por hardware da Intel hoje para oferecer suporte a nossos clientes com uma estratégia de segurança Zero Trust.  Estamos comprometidos em construir as plataformas mais seguras e de melhor desempenho.  Outros detalhes sobre os nossos avanços arquitetônicos serão divulgados até o final do ano e no evento Intel Innovation.

Martin Dixon é vice-presidente do Intel Security Architecture and Engineering Group na Intel Corporation.

Sobre a Intel

A Intel (NASDAQ: INTC) é líder da indústria e cria tecnologias que mudam o mundo, apoiando o progresso e melhorando a vida das pessoas. Inspirados pela Lei de Moore, trabalhamos continuamente no aprimoramento do design e da fabricação de nossos semicondutores para ajudar clientes e parceiros a encontrar a melhor resposta para seus maiores desafios. Ao incorporar inteligência à nuvem, rede, borda e em todos os dispositivos de computação, fazemos com que o potencial dos dados seja realmente capaz de transformar os negócios e a sociedade. Para saber mais sobre as inovações da Intel, acesse newsroom.intel.com.br e intel.com.br.

© Intel, o logo da Intel e outras marcas Intel são marcas registradas da Intel Corporation ou de suas subsidiárias. Outros nomes e marcas são de propriedade de seus respectivos donos.