Google 的 Titanium 硬體安全架構

本文上次更新於 2024 年 9 月,內容反映截至撰文時的情況。我們會持續改善客戶保護措施,因此安全性政策和系統日後可能會有所變動。

Titanium 硬體安全架構是 Google 服務的基礎,也是 Google 基礎架構中許多安全防禦措施的根基。Titanium 硬體包括安全微控制器、硬體轉接器和卸載處理器,專為解決 Google 基礎架構的特定攻擊媒介而開發。

Titanium 硬體是 Google 不斷演進的全面基礎架構安全防護最新進展,有助於保護使用者資料的完整性、機密性和可用性。Titanium 硬體建構於基礎架構之上,例如加密硬體卸載卡,可提供傳輸中加密功能,以及提供靜態資料加密的內部微服務。

本文件說明 Titanium 硬體元件如何共同運作,建立安全架構,協助保護 Google 系統的實體攻擊面,並降低客戶資料遭受威脅的風險。本文也說明 Titanium 硬體如何在軟體層啟用特定安全控管機制、架構如何演進 (不只是初始的加密硬體卸載),以及 Titanium 硬體安全架構如何防範 Google 客戶和部署基礎架構面臨的實際威脅。

Titanium 硬體安全架構

Titanium 硬體安全架構旨在防範各種情境和威脅發動者。下圖顯示 Titanium 的獨立互鎖元件。

Titanium 架構元件

Titanium 硬體安全架構包含下列元件:

  • Caliptra 測量信任根 (RTM): 有助於為每個矽晶片封裝強制執行安全邊界。Caliptra RTM 會為根加密編譯服務提供認證和專屬 ID。
  • Titan 晶片 RoT:介於平台開機快閃記憶體和主要開機裝置之間,例如基板管理控制器 (BMC)、平台控制器中樞 (PCH) 和 CPU。Titan 晶片提供實體防竄改的硬體式 RoT,有助於建立強大的身分。Titan 晶片也有助於授權及撤銷機器、卡片或周邊裝置的程式碼。
  • Titanium 卸載處理器 (TOPS):提供加密控制項,協助保護靜態資料和傳輸中資料的機密性和完整性。
  • 自訂主機板:可大規模防範因故障或惡意軟體造成的 DoS 攻擊,以及實體攻擊。舉例來說,在圖表中,晶片封裝和 Titan RoT 位於自訂主機板上,與 Titanium TOP 的自訂主機板或其他基礎架構的主機板不同。
  • 機密運算 安全區域: 有助於針對 Google 的管理員權限強制執行隔離措施、提升與其他租戶的隔離效果,以及透過認證新增可驗證性。 認證可確保環境未遭變更。
  • 後端容錯區域化服務:有助於防止服務、區域或管理存取權的權限遭到提升。

在圖表中,「其他基礎架構」是指網路結構和複製的後端儲存空間。

Titanium 硬體安全架構的設計原則

我們在開發 Titanium 硬體元件及其互動時,會遵循下列基本原則:

  • 避免單點故障:Google 架構的設計宗旨是避免單點故障,例如避免單一負重元件承擔多項責任。建構安全可靠的系統一書探討了避免單點故障的重要性。這項原則適用於我們的實體基礎架構、所有區域,甚至是晶片中的矽。我們全球基礎架構的這項復原能力,有助於確保客戶資料安全無虞且隨時可用。

    舉例來說,透過機密運算進行即時遷移,有助於保留支援主機上的加密記憶體。即時遷移可確保長時間執行的 VM 不會因維護事件或回應安全漏洞而成為單一故障點。

  • 安全邊界是晶片封裝:由於伺服器系統包含多個互連的獨立系統單晶片,我們的架構從根本上不信任所有連接器、結構、印刷電路板組件 (PCBA)、PCBA 追蹤和纜線。雖然元件分離有助於模組化,但如果分離作業為對手提供明確的目標,讓他們從中窺探純文字資料,分離作業也可能成為弱點。晶片封裝內的資料會經過加密,並由封裝內的私密加密資產進行驗證。

    將周邊防禦範圍移至晶片本身,有助於盡量減少隱含信任。隨著資料中心服務條件日益多元,資料機密性面臨的威脅也隨之增加,這項原則就是為解決這類問題而生。舉例來說,在晶片封裝中設定周邊有助於防範惡意硬體作業帶來的威脅。

  • 零信任和風險區隔:針對管理動作的多方控制機制,有助於確保任何人員帳戶 (或遭入侵的人員帳戶) 都無法單方面造成本文討論的威脅。這項架構會將服務劃分為多個層級和區域,以區隔及控管風險。即使是通常以硬體為基礎的 Enclave,架構也會考量硬體安全漏洞的探索,以及元件運作時的修復需求。

    舉例來說,如果攻擊者惡意入侵晶片,導致晶片在資料中心內執行客戶工作負載的現用系統中運作異常,這項架構會偵測並隔離遭入侵的晶片。然後將該機器停用。即使機器未停止運作,攻擊者也必須突破額外的信任界線,並盜用多組憑證,才能橫向移動,進而影響更多系統、使用者或區域。

    獨立的故障網域和隔離技術有助於限制遭駭的範圍。這些網域和技術會新增自然控制點以利偵測,並限制必須導入的額外複雜度。

    如要進一步瞭解我們的零信任實作方式,請參閱 BeyondProd

  • 安全透明:Google 投入多項透明化工作,包括開放原始碼、負責任地揭露研究和發現,以及與硬體製造商生態系統合作。Google 全球基礎架構採用 Kerckhoffs 原則,也就是說,即使系統的所有資訊 (金鑰除外) 都是公開知識,密碼系統仍應安全無虞。

    舉例來說,我們會參與開放原始碼專案,並在安全硬體設計和安全軟體中使用這些專案。下表列出我們貢獻心力並使用的部分開放原始碼專案。

    開放原始碼專案 說明 Titanium 元件

    BoringSSL

    用於 FIPS 140-3 第 1 級加密程式庫

    BoringSSL

    Caliptra

    用於矽晶片層級的信任根 (RoT)

    Caliptra RTM

    OpenTitan

    用於系統架構中晶片的 RoT

    Titan 晶片

    Syzkaller

    用於涵蓋範圍導向的核心模糊測試

    主機 ring0 和使用者 VM 發行版本

    PSP

    用於 FIPS 140-3 第 1 級加密程式庫

    Titanium 卸載處理器

  • 實體和邏輯深度防禦:Google 採用實體資料中心安全防護措施,這些安全控管措施是第一道防線,因此我們刻意投入額外的邏輯控管措施,以強化系統,防範實體威脅。Titanium 在硬體中新增區隔化功能,為縱深防禦機制再添一層保障,進一步防範特定基礎架構威脅

    舉例來說,我們的資料中心設有金屬探測器,可準確偵測儲存媒體外洩行為。不過,我們刻意設計的靜態資料加密策略,並非依賴實體媒體保管。這些邏輯和實體控制措施是獨立且互補的層級。

    我們結合實體和邏輯安全控管措施,防範內部威脅,並保護使用者資料的機密性。

Titanium 架構元件的安全優勢

下表列出 Titanium 安全架構元件在硬體和軟體層面實現的重要安全優勢。以下各節將詳細說明這些安全優勢。

安全防護優勢 架構元件

晶片系統 (SoC) (例如 CPU 或 GPU) 的矽晶片層級信任範圍

Caliptra RTM

晶片層級可驗證性

Caliptra RTM

硬體層級的加密身分

Caliptra RTM、Titan RoT

確認預期二進位檔正在執行

Caliptra RTM、Titan RoT

在開機程序中防範持續性威脅

Caliptra RTM、Titan RoT

保護靜態資料和傳輸中資料的機密性

密碼學 TOP

卸載處理器層級的保護機制 (超越實體卡片)

密碼學 TOP

設計安全、可抵禦實體攻擊,以及支援從單一 Titan RoT 完整復原系統韌體的復原功能

自訂主機板

專為用途打造的電路板,僅提供必要連接器,有助於防範實體竄改行為

自訂主機板

將密碼編譯工作負載與全機系統軟體和管理員存取權隔離開來

機密運算安全區域

透過 DRAM 加密功能防止竄改 (啟用使用中資料加密功能)

機密運算安全區域

將受影響區域和隔板降到最低,避免本機存取權遭攻擊者濫用

後端容錯區域化服務

多層級區隔

後端容錯區域化服務

Caliptra 評估信任根

Caliptra RTM 可協助建立信任感,並提高生態系統中韌體的透明度,這些韌體會在 CPU、GPU 和 TPU 等系統單晶片 (SoC) 上執行。

Caliptra RTM 具有下列優點:

  • 提供根加密編譯服務:Caliptra RTM 可透過強大的端對端加密編譯完整性驗證,偵測損毀的重要程式碼和設定。Caliptra RTM 可以加密編譯方式評估程式碼和設定、使用受硬體保護的專屬認證金鑰簽署這些評估結果,並回報可證明裝置真實性和完整性的評估結果。Caliptra RTM 提供主機板的加密裝置身分,以及一組韌體和設定完整性測量值。
  • 降低 實體供應鏈安全風險: Caliptra RTM 可協助確保硬體為正品,且執行預期韌體和軟體。搭配軟體供應鏈安全防護,Caliptra RTM 可讓系統驗證韌體和軟體的真實性和完整性,無論這些韌體和軟體是由 Google 或第三方建立。這個驗證程序可讓 Caliptra RTM 在授權更新期間維持真實性和完整性,並確保設定維持原樣且經過認證。
  • 防範需要直接存取執行中硬體的實體入侵行為:由於 Caliptra RTM 是建構在晶片的矽層中,因此嘗試將錯誤韌體傳送至應用程式專用積體電路 (ASIC) 的 PCBA 中介層或惡意晶片,無法成功攻擊 RoT。舉例來說,攻擊者可以竄改相對低速的 SPI 匯流排,規避外部 RoT 的偵測功能。不過,如果 RoT 嵌入 SoC 或 ASIC 中,攻擊者就更難入侵。

Titan 晶片信任根

Titan 的設計宗旨是透過加密方式維護裝置身分、防範惡意軟體推送,以及使用撤銷機制強制執行程式碼真實性。

高強度的加密裝置身分可確保機群只包含經過驗證的機器,這些機器會執行預期的二進位檔,並可識別及驗證合法存取權。合法存取權的根源在於硬體層級。

根據預設,實際工作環境機器會使用信任啟動,確保只有經過驗證的軟體可以執行。信任啟動會驗證所有啟動元件的數位簽章,如果驗證失敗,就不允許電腦參與生產環境。

此外,機器碼撤銷功能可做為額外的預防性控制措施,防止套用未經授權的軟體變更。Titan 晶片的撤銷功能不僅有助於防範惡意攻擊 (例如回溯或重播攻擊),也能防範非惡意的穩定性或韌性錯誤 (例如防止意外重新安裝有錯誤的舊版韌體)。

詳情請參閱「Google 如何在正式環境機器上強制執行啟動完整性」。

用於密碼編譯的 Titanium 卸載處理器

Titanium 卸載處理器 (TOP) 可用於加密,在卸載 I/O 時提供安全防護。這些 TOP 會受到 Titan 或 Caliptra RTM 保護。TOP 可廣泛部署傳輸中資料的已驗證加密,以及靜態資料的已驗證加密,且成本低廉。經過驗證的加密機制可確保客戶資料的機密性和完整性。由於 TOP 會管理密碼編譯,因此會取消許多系統元件的權限。TOP 可強化架構屬性 (例如可用性),同時盡量避免資料機密性遭到破壞。

自訂主機板

Google 基礎架構中的自訂主機板經過設計,可提供硬體出處。主機板支援多層級的認證。主機板設計可保護客戶資料,即使攻擊者將惡意裝置實體連接到電腦,也不會造成影響 (這種情況極不可能發生)。Titanium 主機板設計有助於可靠地部署其他強化機制,例如未安裝的偵錯埠、唯讀序列主控台、匯流排連接器入侵和擠壓訊號。

機器啟動時,BMC 網路堆疊只會公開 TLS 和 ALTS 通訊協定。對於使用第三方 COTS 設計的機器 (例如 X4 執行個體),TOP 會將該第三方設計專屬的管理流量設為 Proxy。管理流量的 Proxy 處理方式,代表我們的基礎架構不會依賴第三方設計進行驗證、授權、傳輸安全或網路安全。

Titanium 自訂主機板內建復原和備份機制,可確保可用性和復原能力。這類裝置在發生大多數當機或韌體損毀的情況時,都能自行還原。我們最新的設計可從單一運作中的 Titan RoT 重建整部機器。這些主機板使用專屬的電源元件和重設訊號,確保 Titan RoT 與平台其他部分在電氣上相互獨立,並保護 Titan RoT 對平台韌體酬載的控制權,以利進行驗證和復原。

機密運算安全區域

機密運算 會建立受信任的執行環境 (TEE) 或封閉區,協助隔離 客戶的機密工作負載,避免 Google 管理員存取。當 CPU 或 GPU 處理資料時,機密運算會透過運算隔離和記憶體內加密,提供技術預防性控制措施。機密運算有助於確保即使是惡意 Hypervisor 也無法存取 VM。對於客戶工作負載,機密運算可提供一層資料保密機制,避免 Google 人員意外存取,或自動化系統軟體大規模執行錯誤動作。

Titanium 架構可啟用進階安全性功能,例如 Hyperdisk Balanced 機密模式。Hyperdisk Balanced 機密模式結合了以 Titanium 為基礎的區塊儲存空間卸載、機密運算和 Cloud HSM,可建立以硬體為根的 TEE。換句話說,Hyperdisk Balanced 機密模式是 Hyperdisk Balanced 產品。Hyperdisk Balanced 機密模式會隔離基礎架構,確保敏感金鑰只會在以硬體為根的 TEE 中處理。如要瞭解第三方對加密作業的審查,請參閱「Public Report – Confidential Mode for Hyperdisk – DEK Protection Analysis」。

後端容錯區域化服務

後端容錯區域化服務可協助攻擊者將影響範圍縮到最小。Google 基礎架構的設計宗旨,是將服務、系統和區域與具備權限的內部人員或遭入侵的服務進行區隔,防止橫向移動。

我們正努力將區域資訊納入越來越廣泛的內部身分和存取權管理系統。區域資訊可強化加密隔離,因此攻擊者必須取得多個不同基礎架構服務的憑證,才能在取得本機存取權後繼續橫向移動。

如果攻擊觸發預防性控制措施,導致生產機器從環境中移除 (例如導致系統關機),我們的容錯後端基礎架構可確保鄰近機器上的客戶資料和服務持續可用。如要進一步瞭解基礎架構控管措施,請參閱 BeyondProd 和「Google 如何保護實際工作環境服務」。

基礎架構的攻擊向量 Google Cloud

本節說明構成 Google Cloud部分攻擊面的具體實體和邏輯威脅。Titanium 硬體安全架構專門用來防範 Google 基礎架構和儲存的使用者資料面臨的獨特威脅。

基礎架構威脅

Titanium 架構旨在防禦下列多種威脅:

  • 可實體存取的惡意內部人員:我們的人員需要存取資料中心的實體裝置,才能部署、維護及維修硬體。因為惡意人員或承包商有正當的業務理由,可實際維修資料中心的部分機器,因此這項存取權代表潛在的攻擊向量。

  • 具有邏輯存取權的惡意內部人員:與資料中心實體存取權類似,人員必須開發、維護、測試、偵錯、調整及支援多個層級的 Google 軟體堆疊。這些人員包括開發人員、SRE 和面向客戶的雲端工程師。

    如要進一步瞭解我們如何防範這類威脅,請參閱「Google 如何保護生產服務」。

  • 具有邏輯存取權的外部攻擊者:外部攻擊者可以在 Google Cloud 環境中取得立足點,並嘗試橫向轉移至其他機器,以取得機密資料的存取權。外部攻擊者通常會先入侵正當人員或約聘人員的帳戶。

下圖顯示雲端環境中,最容易受到這些威脅攻擊的部分。

這些威脅造成的安全漏洞。

資料中心伺服器的攻擊面

下表說明資料中心伺服器常見的攻擊面。Titanium 硬體安全架構的設計宗旨,就是提供強大的防禦機制,抵禦這類威脅。

攻擊者 目標 攻擊面 風險

可實體存取的惡意內部人員

儲存媒體 (SSD、HDD 或開機磁碟)

實體硬碟和連接器

攻擊者可能會竊取硬碟,並嘗試使用自己的工具存取硬碟。

DIMM

實體記憶體連接器

攻擊者可能會凍結 DIMM、從資料中心取出,並嘗試使用自己的工具存取 DIMM 上的資料。這種威脅有時稱為「冷啟動」攻擊。

伺服器

USB 或 PCIe 連接器

這類攻擊可能會將惡意硬體連線至伺服器。攻擊者可能會利用惡意硬體執行程式碼或外洩常駐資料。

主機板

聯合測試存取群組 (JTAG) 擴充偵錯埠 (XDP)

這類攻擊可能會連線至硬體偵錯工具,以取得程式碼執行權,或存取 CPU 處理的資料。

網路

乙太網路線

這類攻擊可能會利用乙太網路線,存取裝置之間傳輸的所有資料。即可觀察任何明文流量。

主機板

韌體

這類攻擊可能會導入持續存在的惡意韌體。這個韌體可能來自遭入侵的製造商、在運送途中遭到攔截,或是由內部人員更新。這項威脅可能導致硬體遭預先入侵,並安裝可提供伺服器後門存取權的 Rootkit。

具有邏輯存取權的惡意內部人員

運算工作負載 (例如 VM)

登入點

這類攻擊可能會使用內部人員的憑證,直接存取 VM 或主機,以及其中的資料。

Fabric Router

實體或管理員存取權

這類攻擊可能會取得 Fabric 路由器根層級的控制權,藉此監聽所有流量,並竊取或竄改 Fabric 上傳輸的任何明文資料。

主機板

韌體

這類攻擊可能會將有缺陷的韌體映像檔推送至主機板,導致主機板永久無法運作,資料也無法復原。

攻擊者可能會將已知有安全漏洞的韌體推送到機器,然後利用可執行遠端程式碼的攻擊手法,重新取得控制權。

具有邏輯存取權的外部攻擊者

伺服器

VM

這項攻擊可能會在 VM 上發動公開的側通道攻擊模式。 這些攻擊可能會導致在相同硬體上執行的執行個體,或主機系統軟體洩漏資料。

固態硬碟

VM

這類攻擊可能會直接存取 PCIe SSD,試圖推斷共用租戶的資料。

記憶體

VM

這類攻擊媒介可能會使用側通道,在記憶體中搜尋有價值的加密金鑰。

伺服器

裸機 VM

攻擊者可利用裸機執行個體掃描所有周邊裝置,找出可讓他們持續留在機器中,並攻擊後續房客的易受攻擊元件。

將 Titanium 硬體元件對應至威脅

Titanium 硬體安全架構採用多層式方法,有助於解決特定基礎架構威脅,並避免單點故障。這些威脅可能源自錯誤或惡意行為人。這些威脅涵蓋硬體作業,並可能利用伺服器、網路和控制層的安全性漏洞。沒有單一解決方案可以解決所有這些攻擊媒介,但 Titanium 的綜合功能有助於保護使用者資料和雲端運算執行個體。

情境:未經授權的硬體作業

因為這些作業可能會導致資料中心資料外洩,以及硬體和韌體遭到修改,因此會對資料安全造成威脅。Google 的 Titanium 硬體安全架構採用多種安全措施 (包括加密 RoT、自訂主機板和 I/O 處理器),有助於防範這些威脅。這些元件共同提供多層防禦機制,可抵禦各種攻擊。

下表說明部分惡意硬體威脅,以及 Titanium 架構如何降低這些威脅。

威脅 Titanium 緩解措施

攻擊者從資料中心竊取個別資料硬碟,以存取當中的資料。

儲存產品和服務的靜態資料加密金鑰絕不會永久儲存在附加儲存媒體的機器上。儲存媒體的內建自我加密功能也會啟用,以提供深層防禦,並使用絕不會永久儲存在媒體本身的金鑰。

Google 可透過 Caliptra RTM,將信任根硬體身分和韌體完整性納入授權條件,確保只有符合條件,金鑰管理服務才會將金鑰發布至儲存服務執行個體。如果機器遭到惡意設定,導致韌體並非預期版本,就無法存取解密儲存資料所需的金鑰。矽晶片封裝內嵌的 RoT 可錨定晶片封裝內的相關加密身分。

單一功能中介層 是資料平面安全性的主要部分,可在每個處理步驟中加密資料。TOP 具有下列優點:

  • 做為矽中介層,確保來自工作負載的所有 NVMe 指令在傳送至第三方 SSD 媒體前,都會經過適當清除。
  • 內含自訂 Google SSD 設計,搭配私密加密控制器,可直接在硬體資料路徑中管理金鑰及執行加密作業。
  • 啟用經濟實惠的擴充儲存空間,並確保資料經過加密且完整性受到保護。

對於效能較低的硬碟,我們會使用 dm-crypt 等經過驗證的軟體解決方案,以減少攻擊面,例如部分開機磁碟使用案例。

攻擊者會輕觸網路線,並讀取電線或光纖上的位元組。

TOP 會加密傳輸中的資料,因此網路上的威脅無法嗅探到重要資料。

我們的 NIC 使用 PSP 硬體卸載標準。這項標準可提供經濟實惠的加密功能,同時將效能降幅減到最低。這些實作符合 FIPS 規定。

客戶資料在傳輸至機架頂端 (ToR) 或結構交換器時會經過加密。部分機器學習基礎架構使用專屬的傳輸安全機制。

攻擊者在資料中心或供應鏈中,替換儲存可變動程式碼的快閃晶片,在伺服器上執行惡意程式碼。

Titan 晶片的設計宗旨是拒絕攻擊,且不會提供內部儲存憑證的存取權。即使攻擊者改寫非揮發性快閃晶片的內容,Titan RoT 仍會安全地向 Google 的控制平面回報程式碼的測量結果,而控制平面會封鎖裝置。Google 會使用 Titan 晶片,在整個機群中定期撤銷已淘汰或已知有安全漏洞的程式碼。

攻擊者會在資料中心伺服器或卡的實體介面中插入對抗性裝置,藉此執行惡意程式碼或竊取資料。

自訂主機板設計可移除用於插入對手裝置的介面。

我們已在所有韌體中設定輸入/輸出記憶體管理單元 (IOMMU),防止發生 PCIe 尖叫聲。(PCIe 尖叫器可讀取及寫入 PCIe 結構上的任意封包)。隨著產業日趨成熟,我們將以 PCI IDE 輔助這項防護措施,進一步防範更精密的 PCI 中介裝置。

TOP 和 BMC 上的控制與管理功能,只接受 ALTS 和 TLS 驗證和授權網路連線。

Caliptra RTM 會封鎖任何未經核准的韌體。我們的信任週邊裝置會向控制平面證明硬體身分和程式碼完整性,如果認證記錄與硬體和軟體意圖不符,伺服器就無法進入生產環境。

攻擊者在資料中心發動冷啟動攻擊,存取 RAM 中的資料。

機密運算記憶體內加密功能可保護 RAM 中的任何敏感資料或加密金鑰。在沒有機密運算功能的低保證邊緣資料中心部署的機器,也會啟用 DRAM 加密。

情境:惡意使用者濫用伺服器或網路

攻擊者可能會利用公有雲,在我們的共用基礎架構上代管惡意工作負載,並將資料存放在我們的公開服務中。外部攻擊者 (從個人到國家/地區) 也可能嘗試取得遠端權限。

為減輕這些行為的影響,Titanium 硬體安全架構會使用 Titan 晶片和 Caliptra RTM,以安全的方式佈建執行階段憑證,並限制硬體和作業系統的權限。機密運算有助於防範系統記憶體遭到操控 (無論是實體操控或使用 Hypervisor 攻擊),而 Titan 晶片會拒絕或偵測未經授權的軟體升級。

下表說明部分伺服器和網路遭濫用的威脅,以及 Titanium 架構如何降低這些威脅。

威脅 Titanium 緩解措施

攻擊者會利用安全漏洞逃逸 VM,並存取同一部機器上執行的資料和其他 VM。

機密運算安全區域可防止工作負載資料外洩,無論資料是在處理中或處於閒置狀態。這項緩解措施可防止 VM 逃逸的攻擊者存取使用中的資料。

Titan 晶片和 Caliptra RTM 可防止攻擊者持續存取。由於電腦設定與該伺服器的設定和程式碼政策不符,因此系統可能會偵測到任何持續存取的嘗試。重新啟動後,機器必須先完成比對,才能代管實際工作環境工作負載。

攻擊者在 VM 上發動公開旁路攻擊模式。

我們的機群管理系統會使用 Titan 晶片,撤銷已知有安全漏洞的軟體。撤銷作業可封鎖任何後續針對這些已知安全漏洞的攻擊。此外,以 Titan 為基礎的完整性測量結果可高度確保已將可能需要緊急部署的緩解措施,部署至目標機器。

我們持續領先側通道調查和緩解技術,例如 retpoline 和核心排程,並對 Meltdown、Spectre、ZenbleedDownfall 等進行進階研究,進一步強化這種做法。

攻擊者直接存取為多個房客提供儲存空間的 SSD,試圖推斷共同房客的資料。

靜態資料加密可防範各種插入式攻擊,保護資料免於邏輯和實體攻擊。對於非共用的資源,每個房客的資料都會使用不同的金鑰加密,可降低針對 SSD 的直接存取攻擊機會。

攻擊者會掃描記憶體,並使用側通道搜尋資料加密金鑰或憑證。

Titan 晶片可佈建每個機器的密封憑證。即使攻擊者在某部電腦上取得根存取權,憑證也只會繫結至本機 Titan 晶片的私密身分。

攻擊者購買裸機執行個體,並掃描所有周邊裝置,試圖取得持續存取權。

Titan 晶片會拒絕任何未經授權的軟體升級,包括惡意推送的持續控制。我們的機器工作流程會確認裸機客戶在完整系統認證電源週期內,是否達到預期的完整性測量結果。

情境:惡意控制層行為導致伺服器或網路遭到濫用

惡意控制平面內部人員可能會嘗試以多種方式利用 Google 的系統,包括嘗試取得 Fabric 路由器根層級的控制權、將有缺陷的韌體映像檔推送至主機板,以及監聽網路流量。Titanium 硬體安全架構採用各種機制 (包括 Titan 晶片、Caliptra RTM、自訂主機板和後端容錯隔離服務),防範這些威脅。

下表說明一些控制平面威脅,以及 Titanium 架構如何減輕這些威脅。

威脅 Titanium 緩解措施

攻擊者使用內部人員憑證存取 Compute Engine VM,這些 VM 是客戶環境的基礎層。

TOP 可確保管理員無法存取客戶環境。如果沒有存取權,Google 人員就無法使用憑證存取客戶 VM 底下的特權硬體和軟體層。由於資料只能透過定義的 API 存取,因此 Google 內部人員無法存取客戶資料。

攻擊者會大規模將有缺陷的韌體映像檔推送到主機板,導致主機板永久損壞。

Titan 晶片 RoT 會拒絕任何未經授權的軟體升級,包括惡意推送的持續控制。

自訂主機板設計會使用替代信號網路,將所有 RoT 互連至平台 RoT。平台 RoT 會保留重要裝置的備份韌體。即使網路和 PCI 遭攻擊者破壞,頻外 (OOB) 網路也能修復系統。

攻擊者會將已淘汰的已知有安全漏洞的生產韌體推送到機器,以利用公開安全漏洞重新取得控制權。

Titan 晶片會拒絕不良推送,並協助強制撤銷已知有安全漏洞的程式碼。他們會認證部署在機器上的韌體版本,並在控制層拒絕機器。這項因應措施可防止任何工作在健康狀態不良的機器上執行,並視需要觸發調查或修復作業。

攻擊者會濫用業務持續性所需的晶片偵錯功能,在伺服器系統中取得最高層級的資料存取權。

Caliptra RTM 可確保所有啟用侵入式偵錯介面的參數 (無論是邏輯連線或直接插入實體) 都經過可信賴的設定、以加密方式測量,並使用驗證通訊協定回報給控制層。只有處於預期狀態的機器才能存取,以處理實際工作負載。

攻擊者取得某項後端服務的控制權,以便存取客戶環境。

後端容錯區域化服務是區域化憑證基礎架構,不允許單方面的人工存取。除了禁止運算節點的運算子登入作業外,運算子也無法登入控制平面來擷取金鑰資料。

Titanium 架構中的機密運算安全區域可將後端授權和金鑰佈建服務,與機器根層級權限隔離。

金鑰階層可保護大多數服務的簽署和授權金鑰。透過金鑰階層,根金鑰會存放在 HSM 和保險箱中,或由 Paxos 仲裁的記憶體內資料儲存庫持有。

後續步驟