DDS 보안 - 하드(웨어) 방식 - SGX 파트 3:강화된 DDS 서비스

6편 중 3편입니다. -이 주제에 대한 블로그 시리즈. 이 시리즈를 처음 접하는 경우 이전 블로그를 읽어보십시오. 여기.

이 시리즈의 2부에서는 RTI Connext DDS Micro + Security, SCONE 및 Intel SGX를 사용하여 강화된 엔드포인트를 만드는 방법을 살펴보았습니다. 흥미롭긴 하지만 SGX가 내장된 실용적인 솔루션은 아직 검토하지 않았습니다. 1부에서 DDS + SGX가 보다 전통적인 산업용 사물 인터넷(IIoT) 엔드포인트가 아닌 서버룸에 나타날 가능성이 더 높다고 암시했습니다. 이 기사에서는 DDS 서비스의 렌즈를 통해 SGX 강화 DDS 애플리케이션을 위한 보다 실용적인 솔루션을 살펴볼 것입니다.

많은 DDS 서비스가 보안 강화의 주요 대상입니다. 그들은 더 많은 주제를 구독하는 경우가 많으며 DDS 보안 솔루션에서는 임시 키에 더 많이 액세스할 수 있습니다. 이러한 키는 필요에 따라 응용 프로그램 메모리에 저장됩니다. 기술과 결단력으로 권한 있는 사용자나 공격자는 DDS 보호가 제거된 직후 시스템 메모리에서 데이터를 추출하거나 더 효과적으로 데이터를 수집하거나 보호가 추가되기 직전에 데이터를 변경할 수 있습니다. 데이터가 이미 일반 텍스트로 되어 있는데 왜 암호화를 귀찮게 할까요?

그림 1:DDS 환경의 공격 표면

이 시리즈를 따라오셨다면 1부에서 DDS 보호 패킷이 유선에 도착하여 DDS 보호가 제거되기 전에 SGX 보호 공간으로 전달될 수 있는 아키텍처를 제시한 것을 기억할 것입니다. 애플리케이션 내부에 들어가면 SGX가 데이터를 보호하고 DDS 보호를 제거할 수 있습니다. CPU는 데이터를 일반 텍스트로 볼 수 있으므로 암호화된 데이터에 대해 특이한 작업이 필요하지 않습니다. 이는 동형 암호화와 같은 다른 보호 방법에 비해 뚜렷한 이점을 제공합니다.

이 설계를 통해 애플리케이션은 유선에서 암호화된 데이터를 가져와 암호화를 제거하기 전에 보호된 공간으로 이동하고 데이터에 대해 작동하고 유선 보호를 추가할 수 있습니다. 이러한 애플리케이션 중 하나를 구축할 수 있다면 많은 애플리케이션을 구축할 수 있습니다. 또한 DDS가 유선으로 보호를 제공하기 때문에 비 SGX 응용 프로그램이 SGX 응용 프로그램과 통신할 수 있을 때 이기종 네트워크를 가질 수 있습니다. 이러한 응용 프로그램 중 일부는 DDS 서비스일 수 있습니다.

이를 설명하기 위해 RTI 라우팅 서비스를 살펴보겠습니다. OMG®(Object Management Group®) DDS 보안 사양에서는 Routing Service 애플리케이션 코드가 일시적이더라도 데이터에 대해 명확하게 작동하도록 요구합니다. 또한 라우팅 서비스는 통신한 모든 끝점의 모든 임시 키를 소유합니다. 일부 아키텍처에서는 라우팅 서비스가 네트워크 에지에 나타나야 하므로 공격 위험이 높아집니다. 따라서 이는 악의적인 사용자에게 높은 가치를 제공하는 대상입니다.

그림 2:RTI 라우팅 서비스는 SGX 환경에서 실행되는 애플리케이션을 위한 보호된 공간을 제공합니다.

아직 탐색하지는 않았지만 SCONE에는 암호화된 파일 저장소와 증명에 대한 투명한 지원이 내장되어 있습니다. 내장된 파일 저장소를 사용하여 애플리케이션의 기능을 확장할 수 있습니다. 라우팅 서비스 예제에서는 이제 애플리케이션에서만 사용할 수 있는 보호된 공간에 ID에 사용되는 개인 키를 저장할 수 있습니다. 루트 + 사용자가 액세스할 수 없습니다.

아이디어를 더 발전시키기 위해 이제 모든 데이터를 보호된 방식으로 디스크에 저장할 수 있습니다.

그림 3:SCONE 환경에서 보호되는 DDS 및 RTI 라우팅 서비스

예를 들어 승인된 재생을 위해 DDS 통신을 저장할 수 있습니다. SCONE은 SQLite와 같은 다른 승인된 SCONE 컨테이너와의 기본(투명한) TLS 통신을 지원합니다.

이러한 도구를 사용하면 악의적인 시스템 관리자나 공격자로부터조차 모든 데이터가 항상 보호되는 인프라를 구축할 수 있습니다. 물론 응용 프로그램은 저장소 및 네트워크 연결을 포함하여 신뢰할 수 있는 서비스에 액세스하도록 신뢰할 수 있기 전에 신뢰할 수 있는 방식으로 자체 측정해야 합니다. 이것이 증명 서비스의 역할입니다.

간단히 말해서 증명 서비스는 응용 프로그램이 수정되지 않고 정품이며 정품 SGX CPU에서 실행 중인지 확인하는 원격 방법입니다. 기본적으로 증명 서비스는 덜 신뢰할 수 있는 시스템이 신뢰할 수 있는 응용 프로그램을 가지고 있고 안전하게 실행할 수 있는지 확인하는 보다 신뢰할 수 있는 시스템입니다. 원래 이 서비스는 Intel에서 독점적으로 제공했지만 상황이 바뀌고 있습니다.

원격 증명은 특히 Intel에서 증명을 제공하는 경우 많은 폐쇄형 시스템에서 문제처럼 보일 수 있습니다. 그러나 응용 프로그램에 대한 증명은 한 번만 발생하면 되며 재부팅 후에도 증명이 유지되기 때문에 상상하는 것만큼 어렵지 않습니다. 이 프로세스는 암호화 무결성이 보장되는 ISA 명령을 통해 CPU와 응용 프로그램을 확인합니다. 이러한 값은 디스크에 봉인되어 필요에 따라 재사용할 수 있습니다. 이 재사용에는 CPU에 수정되지 않았음을 증명하는 응용 프로그램, 원격 시스템에 CPU가 정품임을 증명하는 CPU 또는 수정되지 않았음을 다른 응용 프로그램에 증명하는 응용 프로그램이 포함될 수 있습니다. 이러한 기능은 특정 응용 프로그램의 원격 파트너 응용 프로그램을 신뢰할 수 있도록 하는 분산 시스템에서 특히 유용합니다.

SCONE을 SGX 프레임워크로 사용해 왔기 때문에 SCONE이 증명 서비스를 제공한다는 점을 지적하는 것이 좋습니다. SCONE Enterprise 라이선스 소유자인 경우 이 서비스를 시스템에서 로컬로 관리할 수 있습니다. SCONE에는 기업이 아닌 사용자를 위한 글로벌 인증 서비스가 있으며, 이 글로벌 서비스에 대한 인증은 시리즈 후반부에서 살펴보겠습니다.

다음 블로그에서는 DDS-SGX 환경의 보안 비용에 대해 알아보겠습니다.