Применение многослойного подхода к обеспечению безопасности
Одной из проблем в области обеспечения безопасности облачной инфраструктуры является то, что поверхность атаки очень велика. Уязвимости могут быть использованы на уровне приложения, операционной системы, гипервизора, BIOS и встроенного ПО. Это представляет собой разнообразный и сложный стек, который необходимо защищать с сохранением эффективности, требуемой для выполнения рабочих нагрузок.
Если вредоносному ПО удастся проникнуть в один слой инфраструктуры, весь стек будет поражен. Вредоносное ПО на уровне встроенного ПО или BIOS особенно трудно обнаружить и удалить с помощью программного обеспечения. Эти слои энергонезависимы, и любое вредоносное ПО не сможет быть удалено аппаратным сбросом, все на этом уровне может иметь доступ высокого приоритета к уровням выше, к данным.
Добавление многослойной защиты
Не существует единого решения, которое смогло бы защитить весь стек. Необходимо использовать несколько решений, чтобы обеспечить защиту каждого слоя инфраструктуры.
• Защита встроенного ПО: сначала установите корень доверия для оборудования. Можно использовать технологию Intel® Boot Guard криптографического корня доверия для измерения (RTM) для начального встроенного ПО, благодаря ей вы сможете выполнять необходимые действия в случае его изменения. Технология Intel® Platform Firmware Resilience (Intel® PFR) может использоваться для проверки правильности сигнатуры встроенного ПО во время запуска системы, а также правильности процесса загрузки. Более того, она может обеспечивать доступ только разрешенных команд к флеш-памяти и восстановление исправного состояния встроенного ПО в случае возникновения проблем.
• Защита BIOS, операционной системы и гипервизора: технология Intel® Trusted Execution Technology (Intel® TXT) была разработана для усиления защиты платформ от угроз для гипервизора, BIOS и другого встроенного ПО, защиты от установки вредоносных комплектов в корень, а также от атак на программное обеспечение. Она повышает защиту благодаря большему контролю запуска стека через измеренную среду запуска (MLE) и обеспечивает возможность изоляции нежелательных компонентов в процессе загрузки. Используя технологию Intel® TXT, вы можете удостовериться в надежной установке и запуске гипервизора и операционной системы.
• Защита приложения: часто целью вредоносного ПО является похищение конфиденциальных данных и проприетарного кода. Расширения Intel® Software Guard Extensions (Intel® SGX) были введены в семейство масштабируемых процессоров Intel® Xeon® и обеспечивают возможность безопасного создания анклавов, защищенных аппаратным обеспечением. Доступ к коду и данным в таких анклавах можно получить только с помощью доверенного кода приложения. Шифрование защищает данные в процессе хранения, а Intel® SGX обеспечивает их безопасность во время использования, защищает от вредоносного ПО на уровне операционной системы, гипервизора и BIOS.
Превращаем безопасность в прибыль
Поставщикам облачных услуг необходимо повышать безопасность в качестве защитной меры, но повышенная защита также представляет собой одну из возможностей для роста бизнеса. Привлечь клиентов из строго регулированных отраслей может быть проще, если продемонстрировать соответствие,например, принципам отказоустойчивости встроенного ПО платформы NIST SP800-193, что возможно благодаря технологии Intel® PFR .
У вас может появиться возможность предлагать услуги, основывающиеся на технологиях усиленной безопасности. Поставщик облачных услуг PhoenixNAP предлагает защиту данных в облаке, услугу виртуализации, которая обеспечивает клиентов инструментами для защиты с технической поддержкой для мониторинга безопасности и управления ею. Компания Equinix использует Intel® SGX для создания предложения по ключевому программному обеспечению как услуге (SaaS) для управления и шифрования.
Для получения дополнительной информации об усилении защиты инфраструктуры см. новое электронное руководство Intel: Три уровня защиты для создания более безопасного облака.