重新定义固件安全性

最近的一篇文章强调了基于固件的攻击对服务器平台的威胁，并详细解释了 Cloudflare 等服务提供商如何保护其平台。它讨论了用于代码签名关键启动实体的硬件信任根的实现，使硬件成为确保服务器硬件和软件完整性可以通过加密手段获得信任的第一道防线——更重要的是，保护客户免受此类攻击.文章最后展望了未来，表明虽然该解决方案适用于当前，但作为持续努力提供行业最佳安全性的一部分，始终有改进的空间。

本文通过审查当前平台固有的潜在未解决向量来继续讨论，并基于 Axiado 的可信控制/计算单元 (TCU) 安全处理器预览用于防止固件攻击并将平台安全性提升到新水平的最佳解决方案。

建立对固件的信任

关键问题是引导链中信任根（RoT）安全性的隐含假设。位于统一可扩展固件接口 (UEFI) 固件的假设是 RoT 不是攻击的潜在目标。多年来基于固件的攻击的增长证明了这种假设是危险的，特别是 2019 年是 2010 年的十倍以上。黑客很快意识到，通过破坏这个固件，可信平台模块 (TPM)用于远程证明目的的测量也可能被破坏，因为测量依赖于与固件的交互来验证这些测量（它不被称为“信任根”）。为了保证平台的完整性，必须对 UEFI 固件本身进行身份验证，即 RoT 制定零信任策略。

初步解决方案

为了解决这个问题，公司采取了重要的步骤，使用支持这种身份验证的 AMD EPYC 处理器通过 Cloudflare 对服务器中的 UEFI 固件进行身份验证。 EPYC 名为 AMD 安全处理器的硬件安全子系统执行一项名为平台安全启动 (PSB) 的功能，该功能在主 CPU 从复位状态释放之前验证 UEFI 的第一个块。 PSB 是 AMD 对基于硬件的引导完整性的实现。它比基于 UEFI 固件的信任根更好，因为它旨在通过固定在硬件中的信任根来断言系统 ROM 映像的完整性和真实性，然后才能执行。它通过执行以下操作来实现：

• 在重置 x86 CPU 之前对 BIOS/UEFI 的第一个块进行身份验证。
• 在每次启动时验证系统只读存储器 (ROM) 内容，而不仅仅是在更新期间。
• 将 UEFI 安全启动信任链移至不可变硬件。

这是由 AMD 平台安全处理器 (PSP) 实现的，这是一种 ARM Cortex-A5 微控制器，是片上系统 (SoC) 的不可变部分。

通过这种方法，Cloudflare 启用了一种解决方案，似乎可以满足其 UEFI 固件身份验证需求。

UEFI 安全启动问题

未经身份验证的控制器

几乎每台服务器上都有一个常见组件是基板管理控制器 (BMC)。 BMC 与主机系统有多个连接，提供监控硬件、刷新 BIOS/UEFI 固件、通过串行或物理/虚拟 KVM 提供控制台访问、重启服务器和记录事件的能力。

作为启动链的一部分，当前的 PSB 签名方法没有解决对 BMC 的签名，这限制了将信任边界扩展到具有许多系统组件接口的控制器。

使用特定于平台的 CPU 启动

在内置于服务器主 CPU 的块中整合 UEFI 固件身份验证会在库存单元 (SKU) 管理领域引入物流问题。其中一个问题涉及将 CPU 锁定到特定平台。由于 UEFI 身份验证和相关加密密钥与板载引导闪存中的代码以及 AMD EPYC CPU 相关联，所有这些都必须存在于平台上，服务器才能正常引导。但是，这限制了升级或更改该主板上的 CPU 的能力。这种副作用已在增值经销商市场中观察到，因为使用 PSB 功能的 EPYC 设备无法更换。一些公司（例如 HPE）已经认识到这一限制，并在其基于 EPYC 的服务器中禁用了 PSB 功能，而是选择使用其内部硅解决方案在外部验证其 UEFI 固件。

Axiado 认为，处理 UEFI 固件身份验证的外部协处理器同时允许 CPU 灵活性是整个行业的理想选择。

多平台的挑战

另一个与 SKU 管理相关的问题与管理具有潜在多种安全启动方法的平台有关。服务器的数据中心部署可能包括混合处理器，例如 Intel、AMD 和 Arm，每个处理器都有实现 UEFI 固件身份验证的方向。这种情况可能会导致管理来自每个 CPU 供应商的不同本土安全启动/信任根方法的过度负担。

因此，用于处理 UEFI 固件身份验证且具有 CPU 灵活性的外部协处理器是整个行业的理想选择。

潜在的一站式商店以获得最佳固件安全性？

Axiado 的可信控制/计算单元 (TCU) 协处理器是一种解决方案，可实现安全需求的一站式服务，同时提高固件安全性，并且不向物料清单添加组件。这为所有 SKU 的统一安全启动解决方案提供一流的 UEFI 固件身份验证，无论公司选择主要 CPU 供应商，并且所有这些都无需向平台添加组件。

作为服务器中的协处理器，Axiado TCU 承担基板管理控制器 (BMC) 芯片的角色，因此该设备不需要服务器上的额外空间。 TCU 负责系统中所有组件的认证，包括其自身。它通过支持 BMC 设备预期的所有传统功能并包括允许 TCU 承担服务器上的可信平台模块 (TPM) 和复杂可编程逻辑设备 (CPLD) 的角色的附加功能，提供了一个有吸引力的组件整合解决方案。

TCU 的核心是 Axiado 获得专利的安全保险库技术，提供防篡改、不可变的基于硬件的 UEFI 固件身份验证和安全启动。除其他外，这项技术包括针对差分功率分析攻击的保护，这些攻击用于对加密密钥进行逆向工程，使黑客能够访问加密的私人信息。

TCU 包含一种安全 AI 技术，该技术具有专用神经网络处理器 (NNP) 子系统，旨在模拟设备的正常行为，从而识别可能表明存在攻击的异常情况。这使得在攻击之前制定任何必要的对策来保护系统成为可能，包括那些未正式识别的攻击。此外，NNP 连接到设备的各种 I/O，因此它可以对正常行为进行建模并识别整个服务器平台的异常情况，从而扩大了 TCU 对黑客攻击的保护范围。

通过提供安全协处理器解决方案，Axiado 解决了本文中关于 SKU 产品的问题。首先，单一的解决方案最大限度地减少了黑客可以尝试在整个 SKU 阵容中利用的攻击面数量。不需要防范针对 AMD、Intel、Arm 和其他供应商安全解决方案的攻击。这也简化了服务器 SKU 部署的管理和维护，最大限度地减少了平台软件/固件更新变体的数量。其次，通过将安全启动子系统卸载到 TCU，CPU 不再锁定到特定的服务器硬件。然后，人们可以自由地在不同硬件变体之间混合搭配 CPU 并执行升级，而无需执行将 CPU 配置为安装它的特定硬件的任务。

总之，TCU 协处理器为其所有平台提供统一且安全的基于硬件的 UEFI 固件保护解决方案，能够在新攻击被正式识别之前学习它们。这可实现由高性能和功能丰富的 CPU 子系统提供支持的安全网络，以及更易于管理和维护的网络。