Server sind der Zugang zu wichtigen Unternehmens-Ressourcen – und besonders gefährdet. Hardware-implementierte Sicherheitsfunktionen auf CPU-Ebene stellen Features wie Verschlüsselung bereit und reduzieren gleichzeitig die Angriffsfläche. AMD hat in seine Server-Prozessoren eine ganze Reihe solcher Sicherheitsfeatures integriert.
Sicherheit auf CPU- und System-on-Chip (SoC)-Ebene spielt eine immer größere Rolle bei der Abwehr von Cyber-Attacken. Dass die SoC-Ebene vermehrt in den Fokus von Sicherheitsfragen rückt, liegt an den Veränderungen in der System- und Anwendungsstruktur - insbesondere an der allgegenwärtigen Virtualisierung, der hohen Bedeutung von Vertrauen und der notwendigen Begrenzung von Angriffsflächen.
Die Relevanz der Server-CPU für die IT-Sicherheit liegt an der Natur der Sache. Ein Mikroprozessor kann die Vertrauensbasis für die Hardware liefern. Er kann Sicherheitsfunktionen wie Verschlüsselung bereitstellen. Und er kann die Breite der Angriffsfläche minimieren. Die CPU lässt sich so konstruieren, dass sie grundlegende Authentifizierungs- und sichere Kommunikationsfunktionen bietet - ohne dass zusätzliche Software erforderlich ist. Außerdem vermeiden Sicherheits-Features auf CPU-Basis die Notwendigkeit, dieselben Funktionen für die verschiedenen Anwendungen einzeln zu implementieren.
Die Integration von Sicherheit auf Chipebene ist zudem in der Regel schneller und fügt sich natürlicher in bestehende Praktiken und Aufgaben ein, bei denen der CPU bereits großes Vertrauen entgegengebracht wird. Sobald die CPU bewiesen hat, dass sie vertrauenswürdig ist, kann sie verwendet werden, um zu überprüfen, ob die auf die CPU geladene Software korrekt ist.
Root of Trust und Secure Processor
Vertrauen beginnt beim Systemstart – und in der Tat ist der Systemstart ein sicherheitskritischer Bereich. Root of Trust ist eine bekannte Sicherheitsanforderung für Bare-Metal-Systemstarts und umfasst mehrere Funktionen im Trusted-Computing-Modell, denen das Betriebssystem des Computers immer vertraut.
Das zentrale AMD-Element für Root of Trust bildet der dedizierte AMD Secure Processor – ein Co-Prozessor, der unabhängig vom Rest der CPU arbeitet. Er verwaltet den Bootprozess, initialisiert diverse Sicherheitsmechanismen und überwacht das System bezüglich verdächtiger Aktivitäten.
Über eine zusätzliche Verschlüsselungsebene stellt er den jeweiligen Sicherheits-Features AES-128 zur Verfügung. Deren Schlüssel ist weder softwareseitig auslesbar - beispielsweise über einen Hypervisor - noch der CPU selbst bekannt.
Zusätzlich zum sicheren Booten des nativen Systems unterstützt AMD auch den sicheren Bootvorgang virtueller Maschinen und kann nachweisen, dass das Boot-Image für diese Maschinen nicht vom Hypervisor oder einer anderen dritten Partei manipuliert wurde.