메모리는 보안에서 중요한 역할을 합니다.

메모리에 대한 보안 기능은 새로운 것은 아니지만 전염병으로 인한 원격 작업 급증으로 인해 연결성이 증가함에 따라 데이터 보호가 더욱 중요해지고 더욱 어려워졌습니다. 보안 문제는 5G를 포함한 통신 인프라 전반에서 데이터를 공유하는 새로운 사용 사례에서 증폭됩니다.

한편 보안을 활성화하면 메모리 설계가 더 복잡해집니다.

엣지 컴퓨팅, 사물 인터넷(IoT), 커넥티드 카의 폭발적인 성장 이전에도 메모리의 보안 기능이 확산되고 있었습니다. EEPROM(Electrically Erasable Programmable Read-Only Memory)은 신용 카드, SIM 카드 및 키리스 입력 시스템에 선호되는 반면 SD 카드의 "S"는 "보안"을 나타내며 플래시 기반 SSD에는 수년간 암호화가 포함되어 있습니다.

보안은 컴퓨팅 시스템과 네트워킹 환경 전체에 분산되어 있는 메모리 및 네트워킹 장치에 꾸준히 내장되어 왔습니다. 그러나 이러한 메모리 기반 보안 기능은 여전히 ​​사람의 실수를 고려해야 합니다. 정보 보안 전문가는 사용자가 가짜 첨부 파일을 열거나 라우터가 잘못 구성된 결과를 처리해야 합니다.

마찬가지로, 보안 메모리 기능의 이점은 소프트웨어를 포함하는 시스템 전체에서 적절하게 구성되고 조화를 이루지 않으면 완전히 실현되지 않습니다.

이중 SoC(보안 운영 센터와 시스템 온칩)가 병합되고 있다고 말할 수 있습니다.

Infineon의 Semper Secure NOR 플래시는 기능 안전을 위한 진단 및 데이터 수정을 수행하는 동시에 하드웨어 신뢰 기반 역할을 합니다. (출처:인피니언)

Rambus와 같은 회사는 클라우드 및 에지 컴퓨팅에서 증가하는 서버 연결 대역폭 요구 사항에 대응하여 각 연결을 보호하기 위한 제품을 제공합니다. 한편, Infineon Technologies는 연결되는 모든 시스템의 불가피성을 반영하기 위해 Cypress Semiconductor Semper NOR 플래시 메모리를 확장했습니다.

이러한 변조는 본질적으로 바퀴 달린 서버인 자율 차량을 포함하여 다양한 컴퓨팅 플랫폼에 영향을 미칠 수 있습니다. 5G 네트워킹으로 강화된 산업, 의료 및 IoT 시나리오에 추가하십시오. 보안은 통합되어야 할 뿐만 아니라 다양한 장치의 수명 동안 관리되어야 하며, 그 중 일부는 임베디드 메모리로 10년 동안 지속될 수 있습니다. 메모리를 많이 사용하는 애플리케이션은 여전히 ​​해커에게 가장 매력적입니다.

분석가 Thomas Coughlin은 암호화 키 관리가 시스템 보안에 여전히 중요하다고 말했습니다. 비휘발성 메모리 기술이 확산됨에 따라 임베디드 시스템에 보안을 적용하는 것이 점점 더 중요해지고 있습니다. 기기의 전원이 꺼져도 데이터가 유지되기 때문입니다.

Coughlin은 보안 기능을 추가하는 것이 문제가 아니라고 말했습니다. 예를 들어 SSD의 데이터를 암호화할 수 있습니다. "일반적으로 가장 약한 링크는 인간의 링크이기 때문에 사용자가 이러한 기능을 쉽게 사용할 수 있는지가 가장 큰 문제입니다."

스마트폰은 인증 에이전트 역할을 하며 생체 인식이 기존 비밀번호를 대체합니다. 이 시나리오는 암호화되지 않은 데이터가 실수로 노출될 수 있는 가능성을 열어둡니다. Coughlin은 위험이 구현 결함이나 복잡성에 있다고 말했습니다. "보안을 쉽게 만드는 것이 핵심이며, 이는 데이터를 암호화하고 하드웨어에 넣는 것 이상입니다."

SSD 및 메모리 공급업체인 Virtium의 마케팅 부사장인 Scott Phillips는 SSD 암호화는 아직까지는 불가능하다고 말했습니다. 다층적으로 관리되는 접근 방식이 필요합니다. Trusted Computing Group의 Opal 사양과 같은 스토리지 사양은 부팅 전 인증을 위해 BIOS 수준에 도달할 수 있지만 구성 및 중앙 집중식 관리는 해킹으로부터 보호하는 데 중요하다고 Phillips는 말했습니다.

그는 "적당한 규모의 회사라도 전체론적이고 정교한 보안을 구현하지 못합니다."라고 덧붙였습니다.

5G가 활성화됨에 따라 데이터 센터와 데이터 센터 사이에서 데이터 경로를 보호하기 위한 노력이 진행되고 있지만 하드웨어 기반 보안의 이점을 실현하는 데는 여전히 과제가 남아 있습니다.

통합 요구사항

산업 시장에서 통합을 위해서는 서로 다른 시스템의 통합이 필요합니다. 한편 Amazon Web Services 및 Microsoft Azure와 같은 하이퍼스케일러는 데이터 보안을 촉진하고 있다고 Phillips는 말했습니다. 그럼에도 불구하고 이러한 방어는 최종 사용자에게 끝까지 구현되어야 합니다.

표준 및 요구 사항이 증가함에도 불구하고 보안 방법론에 대한 호환성 문제는 여전히 남아 있습니다. 공급업체는 여전히 안전한 제품 및 서비스의 선두 주자로서 자신을 포지셔닝하려고 노력하고 있다고 Phillips는 말했습니다.

그는 “해커는 항상 한 발 앞서 있다”고 덧붙였다. “그들은 모든 작은 허점이 어디에 있는지 알고 있습니다. 확인하는 사항들입니다. 이러한 모든 허점을 해결하고 해결하려면 중앙 집중식이며 매우 세심한 IT 담당자 또는 부서가 필요합니다."

보안 장치를 고정하는 대신 메모리 장치에 내장한다는 아이디어는 소프트웨어 접근 방식과 다르지 않습니다. "DevSecOps"는 보안 및 개인 정보를 애플리케이션 개발 프로세스에 통합하는 것입니다.

"기밀 컴퓨팅"이라는 새로운 프레임워크는 하드웨어 기반 TEE(신뢰할 수 있는 실행 환경) 내에서 계산을 격리하여 사용 중인 데이터를 보호하도록 설계되었습니다. 데이터는 처리되는 동안 메모리와 CPU 외부의 다른 곳에서 암호화됩니다.

Intel SGX를 사용하면 신뢰할 수 있는 실행 환경을 만들 수 있으며, 이는 내부에 로드된 코드와 데이터가 기밀성과 무결성과 관련하여 보호되도록 보장하는 메인 프로세서의 보안 영역입니다.

컨피덴셜 컴퓨팅은 최근 컨테이너 워크로드에 적용할 수 있는 기능을 발표한 Google을 비롯한 소프트웨어 및 하드웨어 공급업체에서 추진하고 있으며, Intel은 Intel Software Guard Extensions를 통해 Microsoft Azure와 같은 클라우드 제공업체를 위한 TEE도 지원합니다.

기밀 컴퓨팅에는 보안에 대한 공동 책임이 필요합니다. Intel 제품 보증 및 보안 아키텍처의 수석 수석 엔지니어인 Simon Johnson은 인간이 여전히 가장 약한 연결 고리라고 말했습니다.

인텔은 데이터를 보호하기 위해 코드를 실행하는 개발자를 지원한다고 Johnson은 말했습니다. 한편 기밀 컴퓨팅 이동은 민감한 의료 정보, 재무 기록 및 지적 재산을 포함하여 출처에 관계없이 데이터를 처리해야 하는 기업의 요구 사항에서 비롯됩니다.

Johnson은 플랫폼 제공자가 데이터를 볼 수 없어야 한다고 말했습니다. "가능한 한 많은 사람들이 물건에 접근하지 못하도록 하고 싶습니다."

Intel SGX에는 메모리의 특정 응용 프로그램 코드와 데이터를 격리하는 하드웨어 기반 메모리 암호화가 포함되어 있습니다. 이를 통해 사용자 수준 코드는 더 높은 권한 수준에서 실행되는 프로세스와 격리되도록 설계된 개인 메모리 "엔클레이브"를 할당할 수 있습니다. 그 결과 RAM의 메모리에 대한 콜드 부팅 공격과 같은 공격을 방지하기 위해 보다 세분화된 제어 및 보호가 제공됩니다.

인텔 프레임워크는 운영 체제, 드라이버, BIOS 또는 가상 머신 관리자가 손상된 경우에도 소프트웨어 기반 공격으로부터 보호하도록 설계되었습니다.

컨피덴셜 컴퓨팅은 사용자가 소유하지 않은 대규모 데이터 세트에 대한 분석과 같은 워크로드를 가능하게 합니다. 또한 워크로드에 더 가까운 암호화 키를 실행할 수 있어 대기 시간이 개선됩니다. Johnson은 "오늘날 우리에게는 보호 기능을 제공하는 소프트웨어만 있습니다."라고 말했습니다. "우리는 이러한 종류의 환경에 대한 하드웨어 보호 기능이 없습니다."

Johnson은 Confidential Computing Consortium의 명령으로 대표되는 하드웨어 및 소프트웨어 에코시스템을 통해 Confidential Computing이 데이터 또는 코드 처리를 보호할 것이라고 말했습니다.

사용 용이성은 거의 항상 보안을 강화한다고 Virtium의 Phillips는 말했습니다. 그는 푸시 버튼 메모리 암호화가 목표이며 "완벽한 보안은 그 위에 추가 기능에서 비롯됩니다"라고 덧붙였습니다.

이 아이디어는 메모리를 암호화하는 것뿐만 아니라 안전한 환경을 보장하기 위해 완전한 데이터 격리를 보장하는 것이라고 그는 말했습니다. "컨피덴셜 컴퓨팅은 단순히 메모리를 암호화하는 것보다 더 광범위한 이야기입니다."

또한 이질적인 세계를 수용하는 것입니다. “데이터가 사용 중일 때 액세스 제어 계층을 제공하고 소프트웨어를 사용하고 있으며 해당 데이터가 특정 영역에 있음을 입증할 수 있어야 합니다. 이 모든 것이 사다리를 올라갑니다.”

>> 이 기사는 원래 다음 날짜에 게시되었습니다. 자매 사이트인 EE Times.