在当今世界,由于恶意软件和勒索软件攻击呈指数级增长,计算机安全变得非常重要。各种研究表明,一次恶意攻击可能使公司损失数百万美元,并且可能需要大量的恢复时间。随着越来越多的员工远程工作并连接到被认为不如传统公司网络安全的网络上,员工的计算机系统可被视为薄弱的安全链接,并威胁到公司的整体安全。操作系统(OS)和独立硬件供应商(IHV)正在投资于安全技术,这些技术将使计算机对网络攻击更具弹性。
微软最近宣布了其安全核心PC计划,该计划依靠OEM合作伙伴,芯片供应商及其自身的共同努力,提供深度集成的硬件,固件和软件,以增强设备的安全性。作为PC市场的领先芯片供应商,AMD将通过与安全核心PC兼容的即将推出的处理器,成为这一努力的主要合作伙伴。
在计算机系统中,最初执行低级固件和引导加载程序以配置系统。然后,将系统的所有权移交给操作系统,该操作系统的职责是管理资源和保护系统的完整性。
在当今世界,网络攻击变得越来越复杂,针对低级固件的威胁变得更加突出。随着安全威胁范式的不断变化,迫切需要为最终客户提供集成的硬件和软件解决方案,以为系统提供全面的安全性。
这就是Microsoft Secured-core PC计划的构想。安全核心PC使您能够安全启动,保护设备免受固件漏洞的侵害,使操作系统免受攻击,并通过高级访问控制和身份验证系统防止对设备和数据的未授权访问。
AMD在启用Secure-Core PC方面发挥着至关重要的作用,因为AMD的硬件安全功能和相关软件有助于保护低级固件攻击。在我们解释AMD如何在下一代AMD Ryzen产品中启用Secured-Core PC之前,让我们首先解释AMD产品的一些安全特性和功能。
SKINIT
SKINIT指令从最初不受信任的操作模式开始,帮助创建“信任根”。SKINIT重新初始化处理器,以为称为安全加载器(SL)的软件组件建立安全执行环境,并以有助于防止篡改的方式开始执行SL SKINIT将基于硬件的信任根扩展到安全加载器。
安全加载程序(SL)
AMD安全加载程序(SL)负责通过询问硬件并向DRTM服务请求配置信息来验证平台配置。
AMD安全处理器(ASP)
AMD安全处理器是每个SOC中可用的专用硬件,有助于实现从BIOS级别到可信执行环境(TEE)的安全启动。受信任的应用程序可以利用行业标准的API来利用TEE的安全执行环境。
带有GMET的
AMD-V AMD-V是一组硬件扩展,可在AMD平台上实现虚拟化。来宾模式执行陷阱(GMET)是下一代Ryzen中增加的芯片性能增强功能,它可使虚拟机管理程序有效地处理代码完整性检查并帮助防止恶意软件。
现在,让我们了解安全内核PC中固件保护的基本概念。假设固件和引导程序是不受保护的代码,则它们可以自由加载,并且知道启动后不久,系统将转换为受信任状态,硬件将强制低级固件沿众所周知的和经过测量的代码路径运行。这意味着固件组件由AMD硅片上的安全模块进行身份验证和测量,并且测量结果安全地存储在TPM中,以供操作系统(包括验证和证明)进一步使用。在系统引导至操作系统后的任何时间,操作系统可以请求AMD安全模块重新测量并与旧值进行比较,然后再执行进一步的操作。这样,操作系统可以帮助确保从启动到运行的系统完整性。