Ölçülen önyükleme ve konak kanıtlama
Bu makalede, Microsoft'un ölçülen önyükleme ve konak kanıtlama aracılığıyla konakların bütünlüğünü ve güvenliğini nasıl sağladığı açıklanmaktadır.
Ölçülen önyükleme
Güvenilir Platform Modülü (TPM), güvenilir bir üçüncü taraf tarafından sağlanan üretici yazılımıyla kurcalamaya karşı dayanıklı, kriptografik olarak güvenli bir denetim bileşenidir. Önyükleme yapılandırma günlüğü, ana bilgisayar önyükleme sırasının en son altına indiğinde Platform Yapılandırma Kayıtlarında (PCR) kaydedilen karma zincirleme ölçümler içerir. Aşağıdaki şekilde bu kayıt işlemi gösterilmektedir. Bir sonraki ölçümün karması için artımlı olarak önceden karmalanmış bir ölçüm eklenip birleşimde karma algoritması çalıştırıldığında karma zincirleme gerçekleştirilir.
Kanıtlama, bir konak önyükleme yapılandırma günlüğünü (TCGLog) kullanarak yapılandırma durumunun kanıtını sunduğunda gerçekleştirilir. TPM okuma ve genişletme işlemleri dışındaki PCR değerlerini kullanıma sunmadığından önyükleme günlüğünün sahtesi zor olur. Ayrıca, Konak Kanıtlama Hizmeti tarafından sağlanan kimlik bilgileri belirli PCR değerlerine korumalıdır. Karma zincirlemenin kullanılması, kimlik bilgilerinin bant dışı olarak sahtekarlık veya korumasının kaldırılma işlemini hesaplama açısından mümkün kılar.
Konak Kanıtlama Hizmeti
Konak Kanıtlama Hizmeti, konak makinelerin müşteri verileriyle veya iş yükleriyle etkileşim kurmalarına izin verilmeden önce güvenilir olup olmadığını denetleen önleyici bir ölçüdür. Konak Kanıtlama Hizmeti, her konak tarafından bir kanıtlama ilkesine (güvenli durumun tanımı) karşı gönderilen bir uyumluluk deyimini (konağın uyumluluğunun doğrulanabilir kanıtı) doğrulayarak denetler. Bu sistemin bütünlüğü, TPM tarafından sağlanan bir güven kökü tarafından sağlanır.
Konak Kanıtlama Hizmeti, özelleştirilmiş bir kilitli ortam içindeki her Azure kümesinde bulunur. Kilitli ortam, konak makine önyükleme protokolüne katılan diğer ağ geçidi denetleyicisi hizmetlerini içerir. Ortak anahtar altyapısı (PKI), kanıtlama isteklerinin kanıtını doğrulamak için bir aracı ve bir kimlik veren (başarılı konak kanıtlama sonrasında birleştirici) olarak görev yapar. Kanıtlama ana bilgisayarına verilen kanıtlama sonrası kimlik bilgileri, kimliğine karşı korumalıdır. Yalnızca istekte bulunan ana bilgisayar kimlik bilgilerini açabilir ve artımlı izinler almak için bu kimlik bilgilerinden yararlanabilir. Bu, ortadaki adam ve sahtekarlık saldırılarına karşı önler.
Bir Azure konağı fabrikadan güvenlik yanlış yapılandırmasıyla gelirse veya veri merkezinde üzerinde oynanmışsa, TCGLog'u bir sonraki kanıtlamada Konak Kanıtlama Hizmeti tarafından işaretlenen ve kanıtlama hatasına neden olan güvenlik ihlal göstergelerini içerir. Kanıtlama hataları, Azure filosunun sorunlu konağa güvenmesini engeller. Bu önleme, konaktan gelen ve konaktan gelen tüm iletişimleri etkili bir şekilde engeller ve bir olay iş akışını tetikler. Araştırma ve ayrıntılı bir mortem sonrası analiz, kök nedenleri ve olası risk göstergelerini belirlemek için yapılır. Yalnızca analiz tamamlandıktan sonra bir konağın düzeltilip Azure filosuna katılma ve müşteri iş yüklerini alma fırsatı vardır.
Konak kanıtlama hizmetinin üst düzey mimarisi aşağıdadır:
Kanıtlama ölçümleri
Bugün yakalanan birçok ölçümün örnekleri aşağıda verilmiştir.
Güvenli Önyükleme ve Güvenli Önyükleme anahtarları
İmza veritabanının ve iptal edilen imzaların veritabanı özetlerinin doğru olduğunu doğrulayarak, Konak Kanıtlama Hizmeti istemci aracısının doğru yazılımı güvenilir olarak kabul etmelerini sağlar. Konak Kanıtlama Hizmeti, ortak anahtar kayıt anahtarı veritabanının ve ortak platform anahtarının imzalarını doğrulayarak, yalnızca güvenilen tarafların güvenilen olarak kabul edilen yazılımların tanımlarını değiştirme iznine sahip olduğunu onaylar. Son olarak, güvenli önyüklemenin etkin olduğundan emin olarak Konak Kanıtlama Hizmeti bu tanımların zorunlu kılındığını doğrular.
Hata ayıklama denetimleri
Hata ayıklayıcılar geliştiriciler için güçlü araçlardır. Ancak, güvenilmeyen bir tarafa verildiğinde belleğe ve diğer hata ayıklama komutlarına erişimin engellenmemiş olması veri korumasını ve sistem bütünlüğünü zayıflatabilir. Konak Kanıtlama Hizmeti, üretim makinelerinde önyüklemede her türlü hata ayıklamanın devre dışı bırakılmasını sağlar.
Kod bütünlüğü
UEFI Güvenli Önyükleme, önyükleme sırası sırasında yalnızca güvenilir düşük düzeyli yazılımların çalışmasını sağlar. Bununla birlikte, aynı denetimler önyükleme sonrası ortamda sürücülere ve çekirdek modu erişimine sahip diğer yürütülebilir dosyalara da uygulanmalıdır. Bu amaçla, geçerli ve geçersiz imzalar belirterek hangi sürücülerin, ikili dosyaların ve diğer yürütülebilir dosyaların güvenilir kabul edildiğini tanımlamak için bir kod bütünlüğü (CI) ilkesi kullanılır. Bu ilkeler uygulanır. İlke ihlalleri, güvenlik olayı yanıt ekibine araştırma için uyarılar oluşturur.
Sonraki adımlar
Platform bütünlüğünü ve güvenliğini sağlamak için neler yaptığımız hakkında daha fazla bilgi edinmek için bkz:
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin