账号:
密码:
CTIMES / 文章 /   
端到端安全虚拟化 为工业控制和电信应用护航
 

【作者: Charlie Ashton】2018年05月23日 星期三

浏览人次:【1996】
  


在工业控制和电信应用领域上,虚拟化技术对於业务层级的助益逐渐被理解。全世界的企业对真实世界中的应用情景进行分析,并据此得出结论大幅度节省整个生命周期营运成本的目标是可以实现的,只要部署的是基於与软体开放标准相容的虚拟化系统;而不是传统上专有的、功能固定并在架构上被供应商锁定的设备。这种不可阻挡的趋势,背後的推动力来自业内的组织机构与活动,例如工业自动化业界的开放式过程自动化论坛(OPA),以及电信业的NFV(OPNFV)开放平台。


然而,在朝向虚拟化基础设施的转变趋势,关於安全性的担??却逐渐提升。因为软体系统部署在网路边缘,通常无人监看,其设备的安全性也没有保障。


山坡上的风力发电机、野外高塔上的移动通信基地台,这些设备的控制系统都很容易受到自然环境的影响,被恶意的破坏和遭受攻击。如果骇客从边缘位置中找到脆弱点入侵网路,很可能对电信服务供应商造成经济损失;若遭到攻击的是工业控制应用产品,可能造成更大的灾难事件。


同时,这些领域中部署的系统使用周期较长,意味更容易随着时间的推移面临到新的威胁,这些威胁在软体最初安装时无法被预料,也就无法预先采取保护措施。


对於关键基础设施应用,企业都需确保所部署的软体系统,置於高度安全架构的保护伞之下,有能力防止未被授权的软体被轻易安装;然而系统一旦启用,就应该被全面保护,同时又要能支援被经过认证授权的软体,进行远端安装与更新,才能随时应对可能的威胁。


针对这些挑战,Wind River将一整套全面性的安全机制纳入最新版本的Wind River Titanium Cloud虚拟化平台之中,为关键性基础设施提供可靠的保障。在工业控制应用面上,强化的安全机制已被整合到Titanium Control产品之中,对电信应用则提供了Titanium Core、Titanium Edge和Titanium Edge SX,以适应不同部署地点和配置的需要。


在更新或修补期间,当导入补丁和ISO映射时,Titanium Cloud使用加密签名来对档案的真实性和一致性进行验证。只有被Wind River加密签名的补丁和ISO才可以在Titanium Cloud之中安装。Wind River在开发Titanium Cloud补丁时,在构建阶段就已经被签名了,并且将私密金钥存储在安全签名伺服器上,此後的公开金钥验证都以内置云端平台来实现。补丁的签名包含在补丁存档中,并在上传时用於验证。类似的过程也适用於Titanium Cloud的ISO映射,在这种情况下签名是被储存在一个单独的档中。使用这种密码签名,软体平台在维护操作期间能被全面保护。


Titanium Cloud的一致性测量体系架构(Integrity Measurement Architecture,IMA)使用安全引导过程确保初始引导载入程式和主机平台内核的完整性、用户空间环境的一致性,同时检测和报告已经执行过的可执行档。IMA对主机档关键子集的完整一致性持续进行监控,当档案被点选时,测量和保存档案的杂凑值 (hashed value of files),以便检测档案是否曾经被篡改,同时记录任何可能显示主机平台档的完整一致性已遭到破坏的迹象。


在Titanium Cloud中的虚拟可信平台模组Virtual Trusted Platform Module (vTPM),虚拟化功能的安全性至少能确保与最新硬体技术所提供的安全级别一样高。TPM是一项国际标准,基於Intel可信执行技术(Intel)TXT,Intel Trusted Execution Technology是一种安全密码处理器规范,最初是一种专用微控制器,将加密资料整合到设备中,设计目标就是要能对硬体的安全性提供保护。 软体使用TPM来对硬体设备进行验证,由於每个TPM晶片在制造过程中都被唯读写入了独一无二的RSA金钥,因而具备做为平台认证的依据。


由於公司采用虚拟化的关键基础设施,他们希??能够部署行业标准伺服器,可能不包括硬体TPM。为了解决这个问题,Titanium Cloud vTPM 包括了一个基於软体的完整TPM,这就使Titanium Cloud能够对vTPM及其非易失性资料进行安全的管理,并且覆盖整个虚拟机器的生命周期,包括连同相关VM一起进行迁移。vTPM设备被配置为与物理TPM完全相同,应用软体本身不需要做改变,其行为就如同从物理TPM启动一样。


对於关键的基础设施应用,Titanium Cloud vTPM 功能确保了完整安全的端到端引导过程。


从固定功能的物理设备迁移到基於开放标准的软体,这样做的好处之一是让企业可以应用来自创新软体公司的各种安全产品。透过Titanium Cloud合作夥伴生态系统,Wind River与供应商合作提供多项的功能,例如防火墙、安全闸道、深度封包检测(DPI)和入侵防御系统(IPS)。借助於Titanium Cloud对合作夥伴产品的正确运作进行验证,Wind River支援企业客户利用先进的安全软体,放心使用这预先经过验证的联合解决方案。


(本文作者Charlie Ashton任职於Wind River公司)


相关文章
後智慧手机年代:每个人都是工程师
智慧手机的神经网路处理器时代
再争龙头宝座 英特尔全力冲刺半导体市场
对的MCU让物联网系统设计加分
类比、数位还是混合型电源:何时为电源增加智慧功能才有意义
comments powered by Disqus
相关讨论
  相关新闻
» Olympus在日本销售AI辅助诊断癌症系统
» Wind River推出Helix平台 满足各类边缘应用
» [MWC 2019]天奕发表A.I.级医疗照护室内定位解决方案
» 微软携手台湾AI实验室共同发表AI基因分析平台
» 台湾 Google Play 2018年度最隹榜单出炉
  相关产品
» JIUN推出新款云端医学影像管理系统
» Wind River将在世界行动通讯大会上展示边缘云计算的应用
» 优必达借力Azure服务为全球市场提供混合式云游戏与人工智慧服务的解决方案
» 精益科技推出SmartOffice PS186家务商务双达人
» Microsoft 365商务版 防堵资安漏洞、提高协作生产力

AD


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2019 远播信息股份有限公司版权所有 Powered by O3
地址:台北市中山北路三段29号11楼 / 电话 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw