Zum Hauptinhalt springen
Business IT-Lösungen

Business IT-Lösungen

Wie Secured-Core-Server mit einem mehrschichtigen Ansatz gegen Firmware-Attacken schützen

Wie Secured-Core-Server mit einem mehrschichtigen Ansatz gegen Firmware-Attacken schützen
Advanced Micro Devices GmbH
Firma: Advanced Micro Devices GmbH
Sprache: Deutsch
Größe: 2 Seiten
Erscheinungsjahr: 2021
Besonderheit: registrierungsfrei

Die neue Servergeneration soll ab Ende 2021 verfügbar sein. Sie bietet einen mehrstufigen Schutz über Hardware, Firmware und das Betriebssystem hinweg. Damit soll eine sichere Plattform für alle kritischen Applikationen und Daten geschaffen werden, die auf diesem Server laufen. IT-Administratoren können die Security-Funktionen über Cloud- und Edge-Geräte im Netzwerk nutzen.

Ein Secured-Core-Server bietet mehrere Vorteile. Er wird:

  • sicher gebootet,
  • schützt das Gerät vor Schwachstellen der Firmware,
  • schirmt das Betriebssystem ab, damit Angreifer nicht durchdringen können,
  • verhindert mit Authentifizierungs-Tools und Zugangskontrollen den unberechtigten Zugriff auf Geräte und Daten im Netzwerk.
  • Zu den weiteren Funktionen gehören Secured Connectivity, unter anderem mit HTTPS und standardmäßig aktiviertem TLS 1.3. Das Server Message Block-​Protokoll (SMB) kann mit AES-256 verschlüsselt werden.
  • Außerdem sind mit Virtualization-based Security (VBS), Credential Guard und Hypervisor-protected Code Integrity (HVCI) zusätzliche Security-Features an Bord.

Die Secured-Core-Server werden die entsprechenden Funktionen out-of-the-box mitbringen. Für den Schutz der Firmware in den Servern sorgen insbesondere die AMD EPYC-Prozessoren.

Wie AMD-Sicherheitsfunktionen die Firmware in Secured-Core-Servern schützen

Die Prozessoren von AMD sorgen nicht nur für Leistung, sie haben auch Sicherheitstechnologien integriert, die insbesondere die Firmware schützen. Sie erschaffen ein „Root of Trust“, also eine in die Hardware integrierte Kontrollebene. Dabei handelt es sich um einen dezidierten Sicherheitschip, den AMD Secure Processor (ASP) ist für die Kontrolle von Firmware zuständig.

Für den Secured-Core-Server relevant sind diese Hardware-Sicherheitsfunktionen der Firmware:

  • Der AMD Secure Processor (ASP) überprüft, ob die Firmware korrekt arbeitet oder ob sie durch externe Einflüsse und Angriffe kompromittiert wurde. Er kann kritische Prozesse und Daten isolieren, um damit das gesamte System besser zu schützen. Dazu authentifiziert er die beim Start geladene Firmware und hindert manipulierte Anwendungen an der Ausführung. Erst dann gibt der Prozessor die BIOS-Steuerung an das Betriebssystem ab, indem er ein Trusted Execution Environment bereitstellt, also eine vertrauenswürdige Laufzeitumgebung für Applikationen.
  • Der Secure Loader (SL) initialisiert Trusted Software wie einen Hypervisor, nachdem er die Identität der Software validiert hat. Diese Umgebung ist gegen Zugriffe von außen geschützt. Der Befehl SKINIT hilft, ein Root of Trust zu erschaffen, dem das Betriebssystem vertraut. Er weitet das Hardware-basierte Root of Trust also auf den Secure Loader aus.
  • Die Hardware-Erweiterung AMD-V legt zusammen mit der Funktion GMET einen vom Betriebssystem separaten Speicher an. Externe Angriffe können so den Systemspeicher nicht kompromittieren.

Diese Komponenten sind im Secured-Core-Server im AMD Dynamic Root of Trust Measurement (DRTM) Service Block vereint. Er ist dafür zuständig, das Root of Trust aufzubauen und aufrechtzuerhalten. Der Prozessor bringt das System also beim Start mit dem DRTM in einen sicheren Zustand, einen Trusted State. Darüber hinaus schützt die Sicherheitsarchitektur von AMD vor DMA-Angriffen auf den Systemspeicher.

Fazit: Secured-Core-Server mit umfassendem Schutzlevel für die Firmware verteidigen das System gegen verschiedene Arten von Angriffen. AMD EPYC-Prozessoren werden dafür notwendige Security-Features künftig Windows Servern 2022 bereitstellen – und garantieren so den sicheren Betrieb der Server auch bei Sicherheitslücken in der Firmware.

5406 Views / Downloads

Teilen

Wie Secured-Core-Server mit einem mehrschichtigen Ansatz gegen Firmware-Attacken schützen

Inhaltstyp: Artikel
Advanced Micro Devices GmbH

Kommentare und Feedback (0)