Google’ın Project Zero ve bulut güvenlik ekiplerinin Intel Trust Etki Alanı Uzantısının (TDX) güvenliğine ilişkin dokuz aylık değerlendirmesi, iyileştirmesi gereken bazı alanları belirledi, ancak genel olarak şirket, Intel’in Xeon Ölçeklenebilir işlemcisinin dördüncü nesli, tam not.
TDX modülü, Trust Domains (TD) olarak bilinen, donanımdan yalıtılmış sanal makineler (VM) sağlayan yeni nesil Xeon işlemcilerdeki bir özelliktir. Bunlar, sanallaştırılmış fiziksel bellek gibi hassas kaynakları VM’nin üzerinde çalıştığı ana bilgisayar işletim sisteminden yalıtmak için kullanılabilir.
Intel ile işbirliği içinde yürütülen araştırma, gizli bilgi işlem teknolojisinin bugünün ve geleceğin tehditlerinden nasıl korunacağına baktı.
Intel, araştırmanın TDX’te bariz kusurlar olup olmadığını belirlemek ve teknolojinin hem bulut müşterileri hem de sağlayıcılar tarafından dağıtılabilmesini sağlamak için beklendiği gibi çalışıp çalışmadığını test etmek için kullanıldığını söyledi. Araştırmacılar ayrıca TDX için beklenen tehdit modelini daha iyi anlamak ve Google’ın dağıtım kararlarını daha iyi bilgilendirecek tasarım ve uygulamadaki sınırlamaları belirlemek istediler.
Güvenlik incelemesi, ayrıcalıklı bir güvenlik bağlamında rasgele kod yürütmeyi değerlendirdi; kriptografik zayıflıklar; geçici ve kalıcı hizmet reddi ve hata ayıklama veya dağıtım tesislerinde zayıflıklar. Intel ayrıca ekibin incelediği bileşenlerin kaynak kodunu da açtı, böylece daha fazla araştırma halka açık olarak yürütülebilir. Genel inceleme için mevcut olan kaynak kodu, TDX Modülünü ve Dikiş Yükleyiciyi içerir.
Rapor, TDX özelliğinin başlatılmasından sorumlu Kimliği Doğrulanmış Kod Modülündeki (ACM) bir hata nedeniyle ciddi bir uygulama sorununa işaret ediyor.
Araştırmacılar, ACM’nin güvenli ve güvenli olmayan durumu arasında geçiş yaptığında, hatanın güvenilmeyen kodun yüksek güvenlik düzeyine sahip “ayrıcalıklı yürütme modunda” yürütülmesine izin verdiğini buldu. Bu hata, TDX özelliğinin bütünlüğünü ve dağıtılan tüm VM’lerin güvenliğini tehlikeye atmak için kullanılabilir.
İnceleme sırasında tespit edilen kusurlar ve zayıflıklar, düzeltilmesi için Intel’e geri gönderildi.
Google Cloud grup ürün müdürü Nelly Porter şunları söyledi: “Gizli bilgi işlemde sektör liderleri olarak, özellikle müşterilerimize sunarken, temel teknolojiyi kapsamlı bir şekilde incelemeyi misyon ediniyoruz. Intel TDX’te halihazırda bulunan güvenlik seviyesinden ve ayrıca tüm sektör için güvenlik sonuçlarını iyileştiren ekiplerimiz arasındaki işbirliğinden memnunuz.”
Intel’de baş teknoloji sorumlusunun ofisinde sistem mimarisi ve mühendisliğinden sorumlu başkan yardımcısı ve genel müdür olan Anil Rao, “İnsanların verilerinin güvenliği ve güvenilirliği konusunda endişelenmeyecekleri şekilde yapmak istiyoruz” dedi.
“Kuruluşlar, verilerini kontrol etmek ve güvenilir taraflara doğrulanabilir, geri alınabilir ve zamana duyarlı bir şekilde erişim sağlamak için gizli bilgi işlem kullanıyor – teknolojinin güvenli olduğundan emin olma yükümlülüğümüz var. Google ile erken çabalarımız, tüm potansiyel güvenlik açıklarını ele almak için kapsamlı analiz yapma taahhüdümüzü sağlamlaştırıyor.”