클라우드 컴퓨팅
산업 제조
조직에서 멀티 클라우드, 하이브리드 클라우드 및 에지 컴퓨팅을 점점 더 많이 채택함에 따라 해당 애플리케이션은 광범위한 환경에서 민감한 사용자 데이터를 추적, 저장 및 분석합니다. 애플리케이션을 사용하는 개인의 규정 준수와 개인 정보를 보장하기 위해 데이터는 수명 주기 동안 보호되어야 합니다.
파일 시스템과 스토리지 드라이브를 암호화하고 SSH 프로토콜을 사용하여 도난당한 경우에도 저장 데이터와 전송 중인 데이터를 안전하게 유지하므로 암호화 키가 없으면 쓸모가 없습니다. 그러나 사용 중인 데이터는 일반적으로 암호화되지 않고 공격 및 악용에 취약합니다.
런타임 시 애플리케이션과 데이터를 보호하기 위해 개발자들은 점점 더 신뢰할 수 있는 실행 환경으로 눈을 돌리고 있습니다. , 종종 "보안 구역"이라고 합니다.
TEE(신뢰할 수 있는 실행 환경)는 CPU로 암호화된 메모리 내부의 격리된 사설 엔클레이브입니다. 하드웨어 수준에서 사용 중인 데이터를 보호하는 데 사용됩니다.
민감한 데이터가 엔클레이브 내부에 있는 동안 승인되지 않은 엔티티 제거하거나 수정하거나 더 많은 데이터를 추가할 수 없습니다. 엔클레이브의 콘텐츠는 외부 당사자가 볼 수 없고 액세스할 수 없는 상태로 유지되며 외부 및 내부 위협으로부터 보호됩니다.
결과적으로 TEE는 다음을 보장합니다.
공급업체 및 기본 기술에 따라 TEE는 다음과 같은 추가 기능을 활성화할 수 있습니다.
이러한 기능을 통해 개발자는 애플리케이션 보안을 완벽하게 제어할 수 있으므로 운영 체제, BIOS 및 애플리케이션 자체가 손상된 경우에도 민감한 데이터와 코드를 보호할 수 있습니다.
TEE의 작동 방식을 이해하기 위해 Intel® SGX(Software Guard Extensions)를 살펴보겠습니다.
Intel® SGX를 사용하면 응용 프로그램 데이터가 신뢰할 수 있는 부분과 신뢰할 수 없는 부분으로 분할됩니다. 코드의 신뢰할 수 있는 부분은 보호된 엔클레이브 내에서 애플리케이션을 실행하는 데 사용됩니다. CPU는 엔클레이브를 요청하는 엔티티의 권한에 관계없이 엔클레이브에 대한 다른 모든 액세스를 거부합니다. 일단 처리되면 신뢰할 수 있는 데이터는 TEE 내부에 보관되고 엔클레이브 외부의 애플리케이션에 제공된 정보는 다시 암호화됩니다.
엔클레이브는 메모리 페이지 생성 및 추가는 물론 엔클레이브 초기화, 제거 또는 측정을 가능하게 하는 하드웨어 명령을 통해 생성 및 프로비저닝됩니다.
플랫폼의 펌웨어는 구성 설정을 사용하여 TEE 영역을 설정합니다. 확장이 활성화되면 CPU는 DRAM의 일부를 프로세서 예약 메모리(PRM)로 예약합니다. PRM 크기는 펌웨어 도구를 통해 지정할 수 있습니다.
그런 다음 CPU는 한 쌍의 MSR(모델별 레지스터)을 설정하여 PRM을 할당하고 구성합니다. 다음으로, 기본 주소, 엔클레이브 크기 및 데이터 보안 정보가 포함된 메타데이터를 포함하는 EPC(Enclave Page Caches)가 PRM 내부에 생성됩니다.
마지막으로 CPU는 엔클레이브의 초기 상태에 대한 암호화 해시를 생성하고 뒤따르는 다른 상태를 기록합니다. 이 해시는 나중에 암호화 키 및 하드웨어 신뢰 루트를 통한 증명에 사용됩니다.
일단 초기화되면 엔클레이브는 사용자 애플리케이션을 호스팅할 수 있습니다.
TEE가 얼마나 안전한지 가장 잘 설명하려면 먼저 CPU 권한 링을 처리해야 합니다. .
암호화 키는 전통적으로 링 3 수준에서 애플리케이션 내에 저장되었습니다. 이 모델은 일단 손상되면 애플리케이션 내에서 보호되는 비밀을 위태롭게 합니다.
최신 아키텍처에서 권한의 고리는 커널과 하이퍼바이저를 넘어 시스템 관리 모드(SMM) 및 관리 엔진(ME)으로 확장됩니다. 이를 통해 CPU는 TEE가 사용하는 메모리를 보호할 수 있으므로 공격 표면을 하드웨어의 가장 낮은 계층으로 줄이고 가장 높은 수준의 권한을 제외한 모든 권한에 대한 액세스를 거부할 수 있습니다.
TEE의 기능 및 보안에 대한 또 다른 핵심은 증명입니다. . 증명을 통해 데이터가 공유되기 전에 전체 플랫폼과 엔클레이브가 측정되고 검증됩니다.
예를 들어, 엔클레이브는 자체 또는 동일한 플랫폼의 다른 엔클레이브에서 로컬 보고서를 요청할 수 있으며 데이터 확인 및 검증을 위해 보고서를 사용할 수 있습니다. 유사하게, 원격 검증자는 엔클레이브에서 민감한 데이터를 요청하기 전에 증명 보고서를 요청할 수 있습니다. 신뢰가 구축되면 외부에 보이지 않는 보안 채널을 통해 세션 키와 데이터를 공유할 수 있습니다.
암호화되지 않은 비밀은 TEE를 벗어나지 않으므로 보안 엔클레이브는 다음으로부터 데이터를 보호합니다.
하드웨어에 물리적으로 액세스할 수 있는 인프라 소유자 및 기타 주체도 데이터에 도달할 수 없습니다.
다양한 클라우드 환경에서 프라이빗 워크로드의 안전하고 표준화된 처리를 가능하게 하기 위해 Linux Foundation은 2019년에 CCC(Confidential Computing Consortium)라는 커뮤니티를 구성했습니다. CCC 회원은 창립 이후 클라우드 컴퓨팅 채택을 가속화하고 개방형 협업을 지원하기 위해 노력해 왔습니다.
그들이 제공하는 높은 수준의 데이터 보호 덕분에 하드웨어 기반 보안 구역은 이 이니셔티브의 핵심입니다.
TEE에서 지원하는 기밀 컴퓨팅을 통해 조직은 애플리케이션이 사용되는 동안 단일 암호화 키에서 전체 워크로드에 이르기까지 모든 것을 보호할 수 있습니다.
오늘날 비밀은 의료 기록이나 생체 인식 데이터와 같은 매우 기밀이며 대체할 수 없는 정보를 포함하여 암호를 훨씬 능가합니다.
기밀 컴퓨팅은 이러한 데이터를 보호하고 재정적 손실이나 평판 손상을 방지함으로써 기업에 경쟁 우위를 제공합니다. 그러나 이 진화하는 기술의 다른 사용 사례가 있습니다.
기밀 컴퓨팅을 사용하면 조직에서 기본 코드, 지적 재산 또는 개인 클라이언트 정보를 파트너 관계 당사자에게 노출하지 않고 여러 소스의 데이터를 처리할 수 있습니다. 경쟁 여부에 관계없이 정부 기관, 의료 기관 또는 연구 기관은 이 기능을 활용하여 연합 학습을 위해 협업하고 통찰력을 공유할 수 있습니다.
금융 기관은 기밀 컴퓨팅을 활용하여 자금 세탁과 같은 사기 행위를 방지합니다. 은행은 의심스러운 계정을 네트워크 내부 또는 외부의 다른 은행과 공유하여 감사하고 오탐 가능성을 최소화할 수 있습니다.
보험 회사는 사기를 방지하기 위해 유사한 접근 방식을 사용할 수 있습니다. 패턴 인식을 위해 서로 의심스러운 주장을 공유할 수 있습니다. 민감한 데이터가 엔클레이브에 저장되고 데이터 기록이 서로 다른 소스 간에 공유되므로 프로세스에서 기밀 정보가 노출되지 않고 결과를 얻을 수 있습니다.
보안 강화를 위한 엔터프라이즈 도구는 기밀 컴퓨팅이 발전함에 따라 지속적으로 개발되고 있습니다. 이는 클라우드 컴퓨팅의 채택, 성장 및 보안을 자극하여 잠재력을 최대한 발휘합니다.
실행 중 민감한 데이터와 코드에 대한 전례 없는 보호 기능을 제공하는 Trusted Execution Environment를 통해 조직은 보안 태세를 강화하고 미래에 대비한 기술을 지금 활용할 수 있습니다.
클라우드 컴퓨팅
2019년에 접어들었고 효율성을 점검할 때입니다. 여전히 수동으로 또는 스프레드시트를 사용하여 작업 주문 및 유지 관리 활동을 추적하고 있습니까? 당신이 있다면, 당신은 혼자가 아닙니다. 우리가 조사한 시설 및 유지 관리 전문가의 거의 80%는 스프레드시트를 사용하거나 그들이 일하는 회사의 작업 주문, 유지 관리 요청 및 예방 유지 관리를 추적하는 데 전혀 사용하지 않습니다. Newsflash, 이러한 방법을 사용하면 귀하가 일하는 부서와 회사에 막대한 비용이 소요됩니다. 연구에 따르면 스프레드시트의 88% 이상이 실수로 인
클린룸은 입자 및 기타 오염 물질에 대해 제어되는 환경입니다. 공기 중의 너무 많은 오염 물질로 인해 손상될 수 있는 제품은 이러한 클린룸 환경에서 제조됩니다. CoastWide Labs의 기사에 따르면 오염 물질은 사람, 프로세스, 시설 및 장비에 의해 생성되며 공기 중에서 지속적으로 제거해야 합니다. 클린룸 환경이 중요한 역할을 하는 곳입니다. 클린룸에는 공기 입방피트당 0.5미크론 이상의 입자가 일정 수준 이상 올라가지 못하게 하는 스크러버가 있습니다. 일반적으로 클린룸은 클래스 10, 100 또는 1000이 될 것입니다.