NVIDIA 技術可幫助組織構建和維護安全、可擴展和高性能的網絡基礎設施。以 NVIDIA 為前沿的人工智能技術的進步每天都在推動安全方面的進步。NVIDIA 采取更直接的方法之一是通過安全的網絡操作系統(NOS)。
安全網絡操作系統(NOS)是一種專門類型的 NOS,專注于強大的安全功能,以保護網絡基礎設施免受各種威脅。
不同的系統 提供各種安全功能。有些系統提供內置防火墻、VPN 或監控工具。有些系統提供高級威脅檢測和響應功能。有些系統在啟動級別提供強化的安全性,甚至在操作系統加載之前就能防止攻擊。其中一項功能稱為 Secure Boot。
安全啟動?
越來越多的 NVIDIA 平臺支持安全標準 Secure Boot。Secure Boot 是一項安全 UEFI(統一可擴展固件接口)功能,旨在防止在啟動過程和固件更新期間運行未經授權的固件或軟件。
系統會阻止未簽名或簽名不當的代碼在啟動級別執行,從而防止在操作系統或安全機制初始化之前加載 rootkits、bootkits、firmware 攻擊和其他惡意活動,而在初始化之前,攻擊者可能會獲得對核心系統的完全控制權。獲得這種級別的訪問權限幾乎可以讓攻擊者執行任何操作。
安全啟動還顯著提高了攻擊者試圖利用物理訪問設備的門檻。即使攻擊者可以物理訪問設備,但如果沒有正確的密鑰,他們也無法更改引導組件,從而防止發生實體修改,例如替換 CPU、硬盤,甚至是引發爆炸或其他有害攻擊。
安全啟動的工作原理是建立“信任鏈”,從硬件級別開始,并擴展到固件和引導加載程序。啟動過程中的每個組件都會驗證下一個,并且必須在執行之前進行簽名和檢查。如果簽名有效并且與已知的可信密鑰相匹配,系統將繼續啟動過程。否則,固件將拒絕所有未簽名的代碼,系統將停止或發出警告。這包括攻擊者試圖直接安裝自己的操作系統。
SONiC 網絡操作系統中的安全啟動?
SONiC (Software for Open Networking in the Cloud)支持 Secure Boot,這是一種基于 Linux 的開源、與硬件無關的網絡操作系統。NVIDIA 是 SONiC 項目的最大貢獻者,并以多種方式支持 SONiC。詳細了解 NVIDIA 和 SONiC 。
與其他系統相比,SONiC Secure Boot 功能的最大優勢在于自主性。作為開源軟件,SONiC 支持可定制的啟動流程,而許多傳統或專有系統則限制了用戶的修改權限。
運行 SONiC 不依賴于任何供應商作為簽名實體。您可以使用自己的私鑰自由簽名您的圖像,因此您知道只能安裝您明確授權的固件。這還會針對供應商鎖定增加一個額外的層。您可以設計您的發行版,使其僅在某些供應商或盒子上運行,并為攻擊者應用更多的知識屏障以跨越,因為許多盒子通常需要專有或特殊知識才能訪問和使用。
圖 1 顯示了 SONiC 中安全啟動的高級架構流程設計。生產簽名過程的工作原理與開發略有不同,后者是在外部簽名服務器中簽名組件,而不是在自己的服務器中簽名。外部簽名服務器提供了一個隔離的環境,可在大型環境中實現額外的安全性、可擴展性以及受控更新和管理。在運行時,在整個流程中對啟動組件進行驗證。
詳細了解安全啟動在 SONiC 中的工作原理及其實施方法 。
開始保護您的箱子?
由于 UEFI 可提高安全性,因此 NVIDIA 強烈建議在任何情況下使用 UEFI 安全啟動。請聯系您的 NVIDIA 銷售代表或 NVIDIA 網絡支持 ,詳細了解如何實施 Secure Boot。
如需了解詳情,請查看以下資源:
