amd anuncia integración con la iniciativa de pc con núcleo seguro de microsoft - Amd

AMD anuncia integración con la iniciativa de PC Secured-Core de Microsoft



In today's world, computer security is becoming very important due the exponential increase in malware and ransomware attacks. Various studies have shown that a single malicious attack can cost companies millions of dollars and can require significant recovery time. With the growth of employees working remotely and connected to a network considered less secure than traditional corporate network, employee's computer systems can be perceived as a weak security link and a risk to overall security of the company. Operating System (OS) and independent hardware vendors (IHV) are investing in security technologies which will make computers more resilient to cyberattacks. Microsoft anunció recientemente su iniciativa de PC Secured-core que se basa en un esfuerzo combinado de socios OEM, proveedores de silicio y ellos mismos para proporcionar hardware, firmware y software profundamente integrados para mejorar la seguridad del dispositivo. Como proveedor líder de silicio para el mercado de PC, AMD será un socio clave en este esfuerzo con los próximos procesadores compatibles con PC con núcleo seguro.

En un sistema informático, el firmware de bajo nivel y el cargador de arranque se ejecutan inicialmente para configurar el sistema. Luego, la propiedad del sistema se transfiere al sistema operativo cuya responsabilidad es administrar los recursos y proteger la integridad del sistema.

En el mundo de hoy, los ataques cibernéticos se están volviendo cada vez más sofisticados, y las amenazas dirigidas al firmware de bajo nivel se vuelven más prominentes. Con este paradigma cambiante en las amenazas de seguridad, existe una gran necesidad de proporcionar a los clientes finales una solución integrada de hardware y software que ofrezca seguridad integral al sistema. Aquí es donde entra en escena la iniciativa Microsoft Secured-core PC. Una PC con núcleo seguro le permite arrancar de forma segura, proteger su dispositivo de las vulnerabilidades de firmware, proteger el sistema operativo de ataques y evitar el acceso no autorizado a dispositivos y datos con controles de acceso avanzados y sistemas de autenticación.

AMD desempeña un papel vital para habilitar Secure-Core PC, ya que las características de seguridad de hardware de AMD y el software asociado ayudan a proteger los ataques de firmware de bajo nivel. Antes de explicar cómo AMD está habilitando PC Secured-Core en la próxima generación de productos AMD Ryzen, primero expliquemos algunas características y capacidades de seguridad de los productos AMD.

pieles
La instrucción SKINIT ayuda a crear una 'raíz de confianza' que comienza con un modo operativo inicialmente no confiable. SKINIT reinicializa el procesador para establecer un entorno de ejecución seguro para un componente de software llamado cargador seguro (SL) e inicia la ejecución del SL de una manera para ayudar a evitar la manipulación. SKINIT extiende la raíz de confianza basada en hardware al cargador seguro.

Cargador seguro (SL)
El AMD Secure Loader (SL) es responsable de validar la configuración de la plataforma al interrogar el hardware y solicitar información de configuración del Servicio DRTM.

Procesador seguro AMD (ASP)
El procesador seguro AMD es un hardware dedicado disponible en cada SOC que ayuda a habilitar el arranque seguro desde el nivel de BIOS en el Entorno de ejecución de confianza (TEE). Las aplicaciones confiables pueden aprovechar las API estándar de la industria para aprovechar el entorno de ejecución segura del TEE.

AMD-V con GMET
AMD-V es un conjunto de extensiones de hardware para permitir la virtualización en plataformas AMD. Guest Mode Execute Trap (GMET) es una función de aceleración de rendimiento de silicio agregada en la próxima generación de Ryzen que permite al hipervisor manejar eficientemente la verificación de integridad del código y ayudar a proteger contra el malware.

Ahora comprendamos el concepto básico de protección de firmware en una PC con núcleo seguro. El firmware y el cargador de arranque pueden cargarse libremente asumiendo que estos son códigos desprotegidos y sabiendo que poco después del lanzamiento, el sistema pasará a un estado confiable con el hardware forzando el firmware de bajo nivel por una ruta de código conocida y medida. Esto significa que el componente de firmware está autenticado y medido por el bloque de seguridad en silicio AMD y la medición se almacena de forma segura en TPM para su uso posterior por parte de los sistemas operativos, incluida la verificación y la certificación. En cualquier momento después de que el sistema se haya iniciado en el sistema operativo, el sistema operativo puede solicitar el bloqueo de seguridad AMD para volver a medir y comparar con los valores anteriores antes de ejecutar otras operaciones. De esta manera, el sistema operativo puede ayudar a garantizar la integridad del sistema desde el arranque hasta el tiempo de ejecución. El flujo de protección de firmware descrito anteriormente es manejado por el Bloque de Servicio AMD Dynamic Root of Trust Measurement (DRTM) y está compuesto por instrucciones SKINIT CPU, ASP y AMD Secure Loader (SL). Este bloque es responsable de crear y mantener una cadena de confianza entre los componentes mediante la realización de las siguientes funciones:

Medir y autenticar firmware y gestor de arranque
Para recopilar la siguiente configuración del sistema para el sistema operativo que a su vez los validará según sus requisitos de seguridad y almacenará información para futuras verificaciones.
  • Mapa de memoria física
  • Ubicación del espacio de configuración PCI
  • Configuración local de APIC
  • Configuración APIC de E / S
  • Configuración IOMMU / Configuración TMR
  • Configuración de administración de energía
Si bien los métodos anteriores ayudan a salvaguardar el firmware, todavía hay una superficie de ataque que debe protegerse, el Modo de administración del sistema (SMM). SMM es un modo de CPU de propósito especial en microcontroladores x86 que maneja la administración de energía, configuración de hardware, monitoreo térmico y cualquier otra cosa que el fabricante considere útil. Cada vez que se solicita una de estas operaciones del sistema, se invoca una interrupción (SMI) en tiempo de ejecución que ejecuta el código SMM instalado por el BIOS. El código SMM se ejecuta en el nivel de privilegio más alto y es invisible para el sistema operativo. Debido a esto, se convierte en un objetivo atractivo para la actividad maliciosa y puede usarse potencialmente para acceder a la memoria del hipervisor y cambiar el hipervisor.

Dado que el controlador SMI generalmente lo proporciona un desarrollador diferente, entonces el sistema operativo y el código del controlador SMM que se ejecuta con un privilegio más alto tiene acceso a la memoria y recursos del sistema operativo / hipervisor. Las vulnerabilidades explotables en el código SMM conducen a un compromiso del sistema operativo Windows / HV y la seguridad basada en virtualización (VBS). Para ayudar a aislar SMM, AMD presenta un módulo de seguridad llamado AMD SMM Supervisor que se ejecuta inmediatamente antes de que el control se transfiera al controlador SMI después de que se haya producido un SMI. AMD SMM Supervisor reside en el bloque de servicio AMD DRTM y el propósito de AMD SMM Supervisor es:
  • Impide que SMM pueda modificar la memoria del hipervisor o del sistema operativo. Una excepción es un pequeño búfer de comunicación de coordenadas entre los dos.
  • Evite que SMM introduzca un nuevo código SMM en tiempo de ejecución
  • Bloquee el acceso de SMM a DMA, E / S o registros que puedan comprometer el hipervisor o el sistema operativo
To summarize, AMD will continue to innovate and push boundaries of security in hardware, whether it is DRTM service block to help protect integrity of the system, the use of Transparent Secure Memory Encryption (TSME) to help protect data or Control-flow Enforcement technology (CET) to help prevent against Return Oriented Programming (ROP) attacks. Microsoft is a key partner for AMD and as part of this relationship there is a joint commitment with the Secured-core PC initiative to improve security within software and hardware to offer a more comprehensive security solution to customers. Sources: Microsoft Secured-Core, AMD