Mért rendszerindítási és gazdagép-igazolás
Ez a cikk azt ismerteti, hogyan biztosítja a Microsoft a gazdagépek integritását és biztonságát a mért rendszerindítási és gazdagép-igazolásokkal.
Mért rendszerindítás
A Platformmegbízhatósági modul (TPM) egy illetéktelen hozzáférés-ellenőrző, kriptográfiailag biztonságos naplózási összetevő, amely egy megbízható harmadik fél által biztosított belső vezérlőprogrammal rendelkezik. A rendszerindítási konfigurációs napló kivonatláncolt, a platformkonfigurációs regiszterekben (PCR) rögzített méréseket tartalmaz, amikor a gazdagép legutóbb a rendszerindítási folyamaton esett át. Az alábbi ábrán ez a rögzítési folyamat látható. Ha egy korábban kivonatolt mérést növekményesen ad hozzá a következő mérés kivonatához, és a kivonatoló algoritmust futtatja az egyesítőn, a kivonatláncolást is végrehajtja.
Az igazolás akkor történik, ha egy gazdagép a rendszerindítási konfigurációs naplójával (TCGLog) igazolja a konfigurációs állapotát. A rendszerindítási naplók hamisítása nehéz, mert a TPM nem teszi közzé a PCR-értékeket az olvasási és kiterjesztési műveleteken kívül. Ezenkívül a gazdagépigazolási szolgáltatás által megadott hitelesítő adatok meghatározott PCR-értékekhez vannak lezárva. A kivonatláncolás használata számítási szempontból nem teszi lehetővé a hitelesítő adatok sávon kívüli hamisítását vagy törlését.
Gazdagépigazolási szolgáltatás
A gazdagépigazolási szolgáltatás egy megelőző intézkedés, amely ellenőrzi, hogy a gazdagépek megbízhatóak-e, mielőtt engedélyezve lennének az ügyféladatokkal vagy számítási feladatokkal való interakcióban. A gazdagépigazolási szolgáltatás ellenőrzi az egyes gazdagépek által egy igazolási szabályzattal (a biztonságos állapot definíciója) küldött megfelelőségi utasítást (a gazdagép megfelelőségének ellenőrizhető bizonyítékát). A rendszer integritását a TPM által biztosított megbízhatósági gyökér biztosítja.
A gazdagépigazolási szolgáltatás minden Azure-fürtben jelen van egy speciális zárolt környezetben. A zárolt környezet más gatekeeper-szolgáltatásokat is tartalmaz, amelyek részt vesznek a gazdagép rendszerindítási protokolljában. A nyilvános kulcsú infrastruktúra (PKI) közvetítőként szolgál az igazolási kérelmek eredetének érvényesítéséhez és identitáskibocsátóként (a sikeres gazdagép-igazolástól függően). Az igazolást követően az igazolási gazdagépnek kiadott hitelesítő adatok le vannak zárva a személyazonosságához. Csak a kérelmező gazdagép tudja megszüntetni a hitelesítő adatokat, és kihasználni őket a növekményes engedélyek beszerzéséhez. Ez megakadályozza az ember-in-the-middle és hamisítás támadások.
Ha egy Azure-gazdagép biztonsági hibás konfigurációval érkezik a gyárból, vagy az adatközpontban illetéktelenül módosítják, a TCGLog a következő igazoláskor a gazdagépigazolási szolgáltatás által megjelölt biztonsági résre utaló jeleket tartalmaz, ami igazolási hibát okoz. Az igazolási hibák megakadályozzák, hogy az Azure-flotta megbízzanak a jogsértő gazdagépben. Ez a megelőzés hatékonyan blokkolja a gazdagépre irányuló és a gazdagépről érkező összes kommunikációt, és elindít egy incidens-munkafolyamatot. Vizsgálat és részletes post mortem elemzést végeznek a kiváltó okok és a lehetséges kompromisszumos jelek meghatározása érdekében. Csak az elemzés befejezése után történik meg a gazdagép szervizelése, és lehetősége van csatlakozni az Azure-flottához, és átvenni az ügyfelek számítási feladatait.
A gazdagépigazolási szolgáltatás magas szintű architektúrája a következő:
Igazolási mérések
Az alábbiakban példákat láthat a ma rögzített számos mérésre.
Biztonságos rendszerindítási és biztonságos rendszerindítási kulcsok
Az aláírási adatbázis és a visszavont aláírások adatbázis-kivonatainak helyességével a gazdagépigazolási szolgáltatás biztosítja, hogy az ügyfélügynök megbízhatónak tekintse a megfelelő szoftvert. A nyilvános kulcs regisztrációs kulcs adatbázisának és nyilvános platformkulcsának aláírásainak ellenőrzésével a gazdagépigazolási szolgáltatás megerősíti, hogy csak megbízható felek rendelkeznek engedéllyel a megbízhatónak ítélt szoftverek definícióinak módosítására. Végül a biztonságos rendszerindítás aktívvá tételével a gazdagépigazolási szolgáltatás ellenőrzi, hogy ezek a definíciók érvénybe lépnek-e.
Hibakeresési vezérlők
A hibakeresők hatékony eszközök a fejlesztők számára. A memória- és egyéb hibakeresési parancsokhoz való korlátlan hozzáférés azonban gyengítheti az adatvédelem és a rendszer integritását, ha egy nem megbízható félnek adják. A gazdagépigazolási szolgáltatás biztosítja, hogy az éles gépek rendszerindításakor bármilyen hibakeresés le legyen tiltva.
Kódintegritás
Az UEFI biztonságos rendszerindítás biztosítja, hogy csak megbízható, alacsony szintű szoftverek futhatnak a rendszerindítási folyamat során. Ugyanezeket az ellenőrzéseket azonban a rendszerindítás utáni környezetben is alkalmazni kell a kernelmódú hozzáféréssel rendelkező illesztőprogramokra és más végrehajtható fájlokra. Ennek érdekében a kódintegritási (CI) szabályzat határozza meg, hogy mely illesztőprogramok, bináris fájlok és egyéb végrehajtható fájlok minősülnek megbízhatónak érvényes és érvénytelen aláírások megadásával. Ezeket a szabályzatokat a rendszer kikényszeríti. A szabályzat megsértése riasztásokat generál a biztonsági incidensmegoldási csapatnak vizsgálat céljából.
Következő lépések
A platformintegritás és -biztonság megőrzésének érdekében teendőkről az alábbiakban olvashat bővebben: