در نظر گرفتن امنیت لبه در دست. نویسندگان: Basant Kumar، محصول ارشد… | توسط اینتل | فناوری اینتل | سپتامبر 2022

در طیف گسترده ای از کاربردها، از اتوماسیون صنعتی و تجاری گرفته تا شهرهای هوشمند، خرده فروشی هوشمند و حتی برنامه های نظامی، محاسبات لبه در حال تبدیل شدن به یک عنصر کلیدی معماری سیستم است. اما پلتفرم‌های محاسباتی لبه‌ای با اتصال نزدیک بین اینترنت اشیا و بارهای کاری حیاتی ابری، اهداف ایده‌آلی برای حملات سایبری هستند. به عنوان مثال، حمله به یک پلتفرم لبه می‌تواند شبکه اینترنت اشیاء را که به یک مرکز تولید برق خدمت می‌کند، مختل کند. این می تواند نمایشگرها و پایانه های تراکنش را در یک محیط خرده فروشی بزرگ خراب کند. این می تواند راه خود را از طریق شبکه رد کند و امنیت بار کاری ابری یک شرکت و داده های آنها را به خطر بیندازد.

برای ساختن یک سیستم قابل اعتماد با استفاده از پلتفرم Intel® Trusted Edge، توسعه دهندگان یک سری مراحل را دنبال می کنند:

1. یک پیکربندی سیستم را انتخاب کنید: کانتینرها، ماشین های مجازی یا ترکیبی.
2. نسخه های OS، Hypervisor یا Docker ارائه شده در Intel® Trusted Edge Platform را انتخاب کنید و مراحل پیکربندی داده شده را دنبال کنید.
3. از کتابخانه‌های میکروسرویس امن Intel® Trusted Edge Platform برای ایجاد برنامه‌های جدید استفاده کنید و توسعه‌دهندگان را از متخصص شدن در امنیت و جزئیات برنامه‌های امن رها کنید.
4. برنامه های قابل اعتماد را روی ماشین های مجازی قابل اعتماد یا در ظروف امن قرار دهید.
5. برنامه های غیر قابل اعتماد را روی ماشین های مجازی معمولی یا در ظروف معمولی قرار دهید.
6. برنامه‌های مورد اعتماد و غیرقابل اعتماد را در صورت لزوم با استفاده از رابط‌های استاندارد رمزنگاری کلید عمومی (PKCS) شماره 11 مرتبط کنید.
7. با استفاده از API های امن پلتفرم Intel® Trusted Edge، برنامه های مورد اعتماد را به برنامه های خارجی یا سرویس های ابری از طریق یک سرور تأیید از راه دور پیوند دهید.

یک مثال در عمل

فراتر از محافظت از مدل‌های حساس هوش مصنوعی، این محیط‌های قابل اعتماد برای برنامه‌های در حال اجرا در سیستم‌های صنعتی اینترنت اشیا حیاتی هستند. در چنین برنامه‌هایی، دستگاه‌های اینترنت اشیا و سیستم‌افزار آن‌ها ممکن است از منابع مختلف، قابل اعتماد یا غیرقابل اعتماد باشند. با این حال، داده ها باید از این دستگاه ها استخراج شوند، شاید با استفاده از ترکیبی از برنامه های قابل اعتماد و نامعتبر پردازش شوند و نتایج در یک پایگاه داده ایمن ذخیره شوند. نیازی به گفتن نیست که با افزایش تهدید حملات سایبری علیه زیرساخت ها و اهداف سازمانی، حیاتی است که کل سیستم بر روی یک پلت فرم امن قرار گیرد.

با این حال، پلتفرم‌های لبه فاقد زیرساخت امنیتی هستند که به راحتی در دسترس توسعه‌دهندگان ابری است. توسعه دهندگان Edge به حال خود رها شده اند تا کارشناسان امنیتی و همچنین توسعه دهندگان سیستم شوند.

این خیلی سوال است. برای اینکه این کار واقع بینانه باشد، اینتل پلتفرم Intel® Trusted Edge را ایجاد کرده است. پلتفرم Intel® Trusted Edge به خودی خود یک فناوری سخت افزاری، یک بسته نرم افزاری، یک سیستم محاسباتی با لبه کوچک یا یک رویکرد جدید برای امنیت نیست. در عوض، این چارچوبی است که عناصر آماده پیکربندی و استفاده را فراهم می کند که با هم یک محیط لبه قابل اعتماد را تشکیل می دهند. پلتفرم Intel® Trusted Edge شامل بسیاری از عناصر، تنظیمات بایوس و سفت‌افزار برای فعال کردن ویژگی‌های امنیتی سخت‌افزار است. پیکربندی برای سیستم عامل های منبع باز قابل اعتماد، هایپروایزر و مدیران کانتینر؛ APIهایی که توابع امنیتی سخت افزار را مجازی می کنند تا ویژگی هایی را که CPU از کدام عملکردها پشتیبانی می کند حذف کنند. کتابخانه‌های میکروسرویس‌های ایمن – روال‌های نسبتاً کوچک، مانند تأیید از راه دور یا رمزگذاری دیسک، که بلوک‌های سازنده عملیات امنیتی پیچیده‌تر هستند – و IPC API. راه حل های مرجع؛ نمونه کد؛ و مستندات

در زمان اجرا، زمانی که برنامه نیاز به اجرای مدل دارد، درخواست و داده های ورودی لازم را از طریق IPC امن ارائه شده توسط پلتفرم Intel® Trusted Edge به سرور مدل Intel® OpenVINO ارسال می کند. سپس این ماژول ماژول امنیتی Intel® OpenVINO را فراخوانی می‌کند که مجوز مدل را با یک سرور مجوز خارجی تأیید می‌کند، مدل را رمزگشایی می‌کند و آن را به سرور مدل تحویل می‌دهد. سپس سرور مدل مدل را اجرا می کند و داده های استنتاج را از طریق زنجیره IPC ایمن به برنامه برمی گرداند.

قابلیت‌های سخت‌افزاری زیربنایی لازم برای این سطح از امنیت، امروزه در فناوری‌های اینتل برای راه‌اندازی امن، نصب امن دستگاه، شتاب رمزنگاری و مجازی‌سازی ایمن و غیره وجود دارد. استانداردهایی برای ارتباطات بین فرآیندی ایمن (IPC) وجود دارد. و نسخه‌های سیستم‌عامل منبع باز، هایپروایزرها و مدیریت‌های کانتینر وجود دارد که می‌توان آن‌ها را پیکربندی کرد، اگر بدانید چگونه، به شیوه‌ای ایمن کار کنند. اما توسعه‌دهندگان پلتفرم و برنامه‌های کاربردی پیشرفته بوده‌اند که این قطعات را در یک سیستم امن که انعطاف‌پذیر، مقیاس‌پذیر و قابل حمل است، در کنار هم قرار دهند.

پلتفرم Intel® Trusted Edge

پلتفرم Intel® Trusted Edge از عناصر منبع باز استفاده می کند و برای فضای کوچک طراحی شده است. با این حال، توسعه دهندگان را قادر می سازد تا سیستم هایی با VM ها و کانتینرهای قابل اعتماد، IPC ایمن، رمزگذاری برای داده ها و کد در حافظه و حافظه، و ایزوله قوی بین مناطق تولید کنند. همه این امنیت از ریشه سخت افزاری Trust شروع می شود و امکانات مدیریت کلید و راه اندازی امن اینتل و توانایی گسترش اعتماد از ریشه به بالا از طریق سیستم عامل، هایپروایزر و لایه های کانتینر و به برنامه ها.

برای اینکه تا حد ممکن ایمن باشند، پلتفرم‌های لبه باید از کد و داده‌ها در حالت استراحت و در انتقال بین حافظه و حافظه محافظت کنند – اما همچنین در انتقال بین فرآیندها و در حین اجرا. و پلتفرم‌ها باید فضایی امن و با دسترسی کنترل شده را فراهم کنند که وظایف قابل اعتماد در آن ساکن شوند. پلتفرم‌ها باید این کار را در محیطی انجام دهند که شامل وظایف غیرقابل اعتماد و پیوندهایی به دنیای خارج باشد. این یک لیست چالش برانگیز از الزامات برای هر تیم توسعه است که توسط متخصصان امنیتی پشتیبانی نمی شود.