このコンテンツの最終更新日は 2024 年 9 月で、作成時点の状況を表しています。お客様の保護の継続的な改善のために、Google のセキュリティ ポリシーとシステムは変更される場合があります。
Titanium ハードウェア セキュリティ アーキテクチャは Google サービスの基盤として機能し、Google インフラストラクチャの多くのセキュリティ対策の基盤となっています。Titanium ハードウェアには、Google インフラストラクチャの特定の攻撃ベクトルに対処するために特別に開発されたセキュリティ マイクロコントローラ、ハードウェア アダプター、オフロード プロセッサが含まれています。
Titanium ハードウェアは、進化を続ける Google の包括的なインフラストラクチャ セキュリティの最新の技術であり、ユーザーデータの整合性、機密性、可用性を保護します。Titanium ハードウェアは、転送中の暗号化を提供する暗号ハードウェア オフロード カードや、保存時のデータの暗号化を提供する内部マイクロサービスを備えたインフラストラクチャ上に構築されています。
このドキュメントでは、Titanium ハードウェア コンポーネントが連携して、Google システムの物理的な攻撃対象領域を保護し、お客様データに対する脅威を軽減するセキュリティ アーキテクチャを構築する仕組みについて説明します。このドキュメントでは、Titanium ハードウェアがソフトウェア レイヤで特定のセキュリティ制御を可能にする仕組みと、初期の暗号ハードウェア オフロードを超えたアーキテクチャの進化について説明します。また、Google のお客様とデプロイを保護するために Titanium ハードウェア セキュリティ アーキテクチャが対処している実際の脅威についても説明します。
Titanium ハードウェア セキュリティ アーキテクチャ
Titanium ハードウェア セキュリティ アーキテクチャは、さまざまなシナリオと脅威アクターから保護するように設計されています。次のアーキテクチャ図は、Titanium の独立したコンポーネントが相互に連携している仕組みを示しています。
Titanium ハードウェア セキュリティ アーキテクチャには、次のコンポーネントが含まれています。
- Caliptra ルート オブ トラスト(RTM): 各シリコン パッケージにセキュリティ境界を適用する際に役立ちます。Caliptra RTM は、暗号サービスに構成証明と一意の ID を提供します。
- Titan チップ RoT: プラットフォームのブートフラッシュと、ベースボード管理コントローラ(BMC)、プラットフォーム コントローラ ハブ(PCH)、CPU などのメイン ブートデバイスの間に存在します。Titan チップは、物理的な改ざんを防止するハードウェアベースの RoT を提供し、強力なアイデンティティの確立に役立ちます。Titan チップは、マシン、カード、または周辺機器のコード認証と取り消しにも役立ちます。
- Titanium オフロード プロセッサ(TOPS): 保存中のデータと転送中のデータの機密性と整合性を保護する暗号制御を提供します。
- カスタム マザーボード: 不具合のあるソフトウェアや悪意のあるソフトウェアによる DoS 攻撃に対する大規模な復元力と、物理的な攻撃からの保護を提供します。たとえば、この図では、チップ パッケージと Titan RoT は、Titanium TOP のカスタム マザーボードや他のインフラストラクチャのマザーボードとは別のカスタム マザーボードに存在します。
- Confidential Computing エンクレーブ: Google の管理者権限に対する分離の適用、他のテナントとの分離の強化、構成証明を使用した検証性の追加に役立ちます。構成証明により、環境が変更されていないことを確認できます。
- フォールト トレラントなリージョン単位のバックエンド サービス: サービス、ゾーン、管理者権限での権限昇格の防止に役立ちます。
この図の「その他のインフラストラクチャ」は、ネットワーク ファブリックと複製されたバックエンド ストレージを指します。
Titanium ハードウェア セキュリティ アーキテクチャの設計原則
Google の Titanium ハードウェア コンポーネントとその相互作用は、次の基本原則に基づいて開発されています。
単一障害点なし: Google のアーキテクチャは、複数の責任を担う単一の耐荷重コンポーネントのような単一障害点を回避するように設計されています。セキュアで信頼できるシステムの確立では、単一障害点回避の重要性について説明しています。この原則は、Google の物理インフラストラクチャ全体、すべてのリージョン、さらにチップのシリコンにまで適用されています。グローバル インフラストラクチャ全体にわたるこの復元力により、お客様のデータを安全に利用できるようになります。
たとえば、Confidential Computing を使用したライブ マイグレーションは、サポートされているホストマシンで暗号化されたメモリを保持する場合に役立ちます。ライブ マイグレーションを使用すると、メンテナンス イベントや脆弱性への対応により、長時間実行中の VM の単一障害点化を防ぐことができます。
境界はシリコン パッケージ: サーバー システムには、相互接続された複数の個別のシステム オン チップが含まれています。このため、Google のアーキテクチャでは基本的に、すべてのコネクタ、ファブリック、プリント回路基板アセンブリ(PCBA)、PCBA トレース、ケーブルを信頼していません。コンポーネントの分離はモジュール性に役立ちますが、平文のデータが盗聴されるターゲットが明確になっている場合は、分離が弱点になることもあります。シリコン パッケージ内のデータは、パッケージ内の非公開の暗号アセットによって暗号化され、認証されます。
境界をシリコン自体に移動すると、暗黙的な信頼を最小限に抑えることができます。この原則は、データセンターのサービス提供条件の多様化に伴うデータ機密性の脅威に対処します。たとえば、シリコン パッケージに境界を設定すると、不正なハードウェア操作による脅威に対処できます。
ゼロトラストとリスクの分離: 管理アクションに対するマルチパーティ制御により、個人アカウント(または侵害された個人アカウント)が、このドキュメントで説明する脅威の攻撃を一方的に受けないようにします。このアーキテクチャでは、サービスをレイヤとゾーンに分割して、リスクを分離し、抑制します。通常はハードウェアにルートされているエンクレーブでも、このアーキテクチャでは、ハードウェアの脆弱性を検出し、コンポーネントの動作中に修復する必要があることを考慮しています。
たとえば、攻撃者が Google のデータセンターでお客様のワークロードを実行しているアクティブなシステム内のチップの動作を侵害した場合、このアーキテクチャは、侵害されたチップを特定して分離するように設計されています。その後、そのマシンを停止できます。マシンが停止しなくても、攻撃者は追加の信頼境界を破り、複数の認証情報を侵害して横方向に展開し、さらに多くのシステム、ユーザー、またはリージョンに影響を与える可能性があります。
独立した障害ドメインと分離テクノロジーは、侵害の影響を受ける範囲を制限するのに役立ちます。これらのドメインとテクノロジーは、検出のための自然な制御ポイントを追加し、導入の複雑さを制限します。
ゼロトラスト実装の詳細については、BeyondProd をご覧ください。
透明性の高いセキュリティ: Google は、オープンソース化、調査結果の責任ある開示、ハードウェア メーカーのエコシステムとのパートナーシップなど、透明性に関するさまざまな取り組みに投資しています。Google グローバル インフラストラクチャでは、Kerckhoffs の原則が適用されます。この原則では、鍵を除くシステムに関するすべての情報が一般に公開されている場合でも、暗号システムは安全であるべきとされています。
たとえば、Google はオープンソース プロジェクトに貢献し、これらのプロジェクトをセキュリティ ハードウェア設計とセキュリティ ソフトウェアで使用しています。次の表に、Google が貢献し、使用しているオープンソース プロジェクトの一部を示します。
オープンソース プロジェクト 説明 Titanium コンポーネント FIPS 140-3 レベル 1 暗号化ライブラリで使用
BoringSSL
シリコンレベルのルート オブ トラスト(RoT)で使用
Caliptra RTM
システム アーキテクチャ内のチップの RoT で使用
Titan チップ
カバレッジ ガイド カーネル ファジングに使用
ホストの ring0 とユーザー VM ディストリビューション
FIPS 140-3 レベル 1 暗号化ライブラリで使用
Titanium オフロード プロセッサ
物理的および論理的な多層防御: Google は、データセンターの物理的なセキュリティにより、資本投資とシステムを保護しています。これらのセキュリティ管理は最初の防御レイヤであるため、Google は物理的な脅威からシステムを保護するために、追加の論理的な制御にも投資しています。Titanium は、ハードウェアに区分化を追加することで多層防御を強化し、特定のインフラストラクチャの脅威に対する追加の防御を提供します。
たとえば、Google のデータセンターには、ストレージ メディアの持ち出しを正確に検出できる金属探知機が設置されています。ただし、Google の保存データ暗号化戦略は、物理メディアの保管に依存しないように設計されています。これらの論理的な制御と物理的な制御は、相互に独立した補完的なレイヤです。
Google では、物理セキュリティと論理セキュリティを組み合わせて、内部脅威に対する警戒を怠らず、ユーザーデータの機密性を保護しています。
Titanium アーキテクチャ コンポーネントのセキュリティ上のメリット
次の表に、ハードウェア レイヤとソフトウェア レイヤの両方で、Titanium セキュリティ アーキテクチャ コンポーネントによって実現される重要なセキュリティ上のメリットを示します。これらのセキュリティ上のメリットについては、以降のセクションで詳しく説明します。
| セキュリティ上のメリット | アーキテクチャ コンポーネント |
|---|---|
CPU や GPU などのシステム オン チップ(SoC)上のシリコンレベルの信頼境界 |
Caliptra RTM |
シリコンレベルの検証 |
Caliptra RTM |
ハードウェア レベルの暗号 ID |
Caliptra RTM、Titan RoT |
想定されるバイナリが実行されていることを確認 |
Caliptra RTM、Titan RoT |
起動中の永続的な脅威の軽減 |
Caliptra RTM、Titan RoT |
保存データと転送中データの機密性の保護 |
暗号の TOP |
プロセッサ レベルの保護のオフロード(物理カード以外) |
暗号の TOP |
安全性を重視して設計され、物理的な攻撃に対する耐性を備え、単一の Titan RoT から完全なシステム ファームウェアの復元をサポート |
カスタム マザーボード |
必要なコネクタのみを備えた専用ボード。物理的な改ざんを防ぎます。 |
カスタム マザーボード |
マシン全体のシステム ソフトウェアと管理者のアクセスから暗号ワークロードを分離 |
Confidential Computing エンクレーブ |
DRAM 暗号化による改ざん防止(使用中データの暗号化を有効化) |
Confidential Computing エンクレーブ |
ローカル アクセス権を持つ攻撃者に対して影響を受ける領域と障壁を最小限に抑える |
フォールト トレラントなリージョン単位のバックエンド サービス |
マルチレベルの区分 |
フォールト トレラントなリージョン単位のバックエンド サービス |
測定用の Caliptra ルート オブ トラスト
Caliptra RTM は、CPU、GPU、TPU などのシステム オン チップ(SoC)で実行されるエコシステム内のファームウェアの信頼性と透明性を高めるために役立ちます。
Caliptra RTM には次の利点があります。
- ルート暗号サービスを提供: Caliptra RTM は、強力なエンドツーエンドの暗号整合性検証により、破損した重要なコードと構成を検出します。Caliptra RTM は、コードと構成を暗号的に測定して、一意のハードウェア保護認証鍵でこれらの測定値に署名し、デバイスの真正性と完全性を証明する測定値を報告できます。Caliptra RTM は、暗号デバイス ID と、マザーボードのファームウェアと構成の完全性測定のセットを提供します。
- 物理的なサプライ チェーンのセキュリティを軽減: Caliptra RTM は、ハードウェアが正規のものであり、意図したファームウェアとソフトウェアが実行されていることを確認するために役立ちます。ソフトウェア サプライ チェーンのセキュリティと組み合わせることで、Caliptra RTM は、Google またはサードパーティによって作成されたかどうかにかかわらず、ファームウェアとソフトウェアの真正性と完全性をシステムで検証できます。この検証プロセスにより、Caliptra RTM は承認済みの更新全体で真正性と完全性を維持し、構成が意図したとおりに維持され、構成が証明されるようにします。
- 実行中のハードウェアへの直接アクセスを必要とする物理的な侵入から保護する: Caliptra RTM はチップのシリコンレイヤに組み込まれているため、アプリケーション固有の集積回路(ASIC)に間違ったファームウェアを配信しようとする PCBA インターポーザや不正なチップは、RoT に対する攻撃に失敗します。たとえば、攻撃者は比較的低速の SPI バスを改ざんすることで、外部 RoT の検出機能をバイパスできます。ただし、SoC または ASIC に埋め込まれた RoT の場合、攻撃者は侵害が難しくなります。
Titan チップのルート オブ トラスト
Titan は、デバイスの ID を暗号的に維持し、不正なソフトウェアのプッシュを防ぎ、取り消しによりコードの真正性を確保するように設計されています。
強力な暗号デバイス ID を使用すると、フリートが、想定されるバイナリを実行し、正当なアクセスを識別して認証できる検証済みマシンのみで構成されるようにできます。正当なアクセスはハードウェア レベルでルートされます。
デフォルトでは、本番環境のマシンは信頼できるブートを使用して、認証済みのソフトウェアのみを実行できるようにします。信頼できるブートは、すべてのブート コンポーネントのデジタル署名を検証します。認証に失敗した場合、マシンが本番環境に参加することを許可しません。
追加の予防的制御として、マシンコードの取り消しにより、許可が取り消されたソフトウェア変更が適用されなくなります。Titan チップの取り消し機能は、悪意のある攻撃(ロールバック攻撃やリプレイ攻撃など)だけでなく、悪意のない安定性や復元力の問題を軽減するうえでも役立ちます(バグのある古いファームウェアの誤った再インストールの防止など)。
詳細については、Google が本番環境マシンに起動時整合性を適用する方法をご覧ください。
暗号化用の Titanium オフロード プロセッサ
暗号化用の Titanium オフロード プロセッサ(TOP)は、I/O のオフロード中にセキュリティを提供します。これらの TOP は、Titan または Caliptra RTM で保護されています。TOP は、転送中のデータの認証付き暗号化と保存中のデータの認証付き暗号化を広範にデプロイし、低コストで実現します。認証済み暗号化とは、お客様のデータの機密性と完全性が暗号で保証されていることを意味します。TOP は暗号を管理するため、多くのシステム コンポーネントの権限を降格させます。TOP を使用すると、可用性などのアーキテクチャ特性を強化しながら、データ機密性の損失の可能性を最小限に抑えることができます。
カスタム マザーボード
Google インフラストラクチャのカスタム マザーボードは、ハードウェアの供給元を提供するように設計されています。マザーボードは複数レイヤでの構成証明をサポートしています。マザーボードの設計により、攻撃者が悪意のあるデバイスをマシンに物理的に接続した場合でも、お客様のデータは保護されます。Titanium マザーボード設計は、デバッグポートの削除、読み取り専用シリアル コンソール、バスコネクタの侵入、流出シグナルなど、追加のセキュリティ強化メカニズムの信頼性の高いデプロイを可能にします。
マシンの電源がオンになっているときに BMC ネットワーク スタックによって公開されるプロトコルは、TLS と ALTS のみです。X4 インスタンスなど、サードパーティの COTS 設計を使用するマシンの場合、TOP は、そのサードパーティ設計に固有の管理トラフィックをプロキシします。管理トラフィックをプロキシ化することで、認証、認可、トランスポート セキュリティ、ネットワーク セキュリティにサードパーティの設計に依存しないインフラストラクチャを実現できます。
Titanium カスタム マザーボードは、復元メカニズムとバックアップ メカニズムが組み込まれており、可用性と復元性を保証するように設計されています。ほとんどのクラッシュやファームウェアの破損から復元できます。最新の設計では、1 つの正常な Titan RoT からマシン全体を再構築できます。これらのマザーボードは、機能専用の電源コンポーネントとリセット シグナリングを使用して、Titan RoT をプラットフォームの他の部分から電気的に独立させ、認証と復元のためにプラットフォームのファームウェア ペイロードを制御できるようにします。
Confidential Computing エンクレーブ
Confidential Computing は、高信頼実行環境(TEE)またはエンクレーブを作成して、お客様の機密性の高いワークロードを Google の管理者権限から分離します。データが CPU または GPU によって処理される場合、Confidential Computing はコンピューティングの分離とインメモリ暗号化を通じて技術的な予防管理を提供します。Confidential Computing を使用すると、悪意のあるハイパーバイザであっても VM にアクセスできなくなります。お客様のワークロードの場合、Confidential Computing は、Google の社員による意図しないアクセスや、大規模な自動システム ソフトウェア アクションの誤動作からデータを保護するレイヤを提供します。
Titanium アーキテクチャによって有効になる高度なセキュリティの例として、Hyperdisk Balanced の情報保護モードがあります。Hyperdisk Balanced の情報保護モードでは、Titanium ベースのブロック ストレージのオフロード、Confidential Computing、Cloud HSM を組み合わせて、ハードウェア ルート TEE を作成します。つまり、Hyperdisk Balanced の情報保護モードは、Hyperdisk のバランス型サービスです。Hyperdisk Balanced の情報保護モードでは、インフラストラクチャが分離されるため、機密鍵はハードウェア ルートの TEE でのみ処理されます。暗号オペレーションのサードパーティによるレビューについては、公開レポート - Hyperdisk の情報保護モード - DEK 保護分析をご覧ください。
フォールト トレラントなリージョン単位のバックエンド サービス
フォールト トレラントでリージョン単位のバックエンド サービスを使用すると、ローカル アクセス権を持つ攻撃者による影響を受ける範囲を最小限に抑えることができます。Google インフラストラクチャは、特権を持つ内部者や侵害されたサービスの横方向の移動からサービス、システム、ゾーンを分離するように設計されています。
Google は、社内 ID とアクセス管理システムの範囲を拡大し、リージョン情報を組み込むよう取り組んでいます。リージョン情報により暗号分離が強化されるため、ローカル アクセス権を取得した攻撃者は、横方向に移動し続けるために、個別のインフラストラクチャ サービスから複数の認証情報を侵害しなければなりません。
攻撃によって、本番環境のマシンを環境から除外する予防的制御がトリガーされた場合(システムの電源がオフになるなど)、Google のフォールト トレラントなバックエンド インフラストラクチャにより、近隣のマシンで顧客データとサービスの継続的な可用性が確保されます。インフラストラクチャ管理の詳細については、BeyondProd と Google が本番環境サービスを保護する方法をご覧ください。
Google Cloud インフラストラクチャの攻撃ベクトル
このセクションでは、Google Cloud の攻撃対象領域の一部を構成する特定の物理的脅威と論理的な脅威について説明します。Titanium ハードウェア セキュリティ アーキテクチャは、Google のインフラストラクチャと Google が保存するユーザーデータに対する一連の脅威に対処するように特別に設計されています。
インフラストラクチャの脅威
Titanium アーキテクチャは、次の複数のカテゴリの脅威から保護するように設計されています。
- 物理的なアクセスが可能な悪意のある内部関係者: Google の社員は、ハードウェアのデプロイ、メンテナンス、修理を行うために、データセンター内の物理デバイスにアクセスする必要があります。内部関係者や請負業者は、Google のデータセンター内の一部のマシンを物理的に修理する正当なビジネス上の理由があるため、このアクセスは潜在的な攻撃ベクトルとなります。
論理的なアクセス権を持つ悪意のある内部関係者: データセンターへの物理的なアクセスと同様に、Google の社員は Google ソフトウェア スタックの複数のレベルの開発、メンテナンス、テスト、デバッグ、チューニング、サポートを担当しています。このような人物としては、デベロッパー、SRE、顧客対応のクラウド エンジニアなどがあります。
この脅威に対する Google の防御策の詳細については、Google が本番環境サービスを保護する方法をご覧ください。
論理アクセス権を持つ外部攻撃者: 外部攻撃者は Google Cloud 環境に侵入し、他のマシンに横方向に展開して機密データにアクセスしようとします。外部攻撃者がよく使用する手口は、まず正規の社員または請負業者のアカウントの侵害です。
次の図は、これらの脅威に対してクラウド環境のどの部分が最も脆弱であるかを示しています。
データセンター サーバーの攻撃対象領域
次の表に、データセンター サーバーの一般的な攻撃対象領域を示します。Titanium ハードウェア セキュリティ アーキテクチャは、このような脅威に対して強力な防御を提供するように設計されています。
| 攻撃者 | ターゲット | 攻撃対象領域 | リスク |
|---|---|---|---|
物理的なアクセス権を持つ悪意のある内部関係者 |
ストレージ メディア(SSD、HDD、ブートドライブ) |
物理ドライブとコネクタ |
この攻撃では、ドライブを盗み出し、攻撃者のツールでドライブにアクセスしようとします。 |
DIMM |
物理メモリコネクタ |
この攻撃では、DIMM をフリーズさせ、データセンターから持ち出し、攻撃者独自のツールを使用して DIMM 上のデータにアクセスしようとします。この脅威は、コールドブート攻撃と呼ばれることもあります。 |
|
サーバー |
USB または PCIe コネクタ |
この攻撃により、不正なハードウェアがサーバーに接続される可能性があります。攻撃者は不正なハードウェアを使用して、コードの実行権限を取得したり、常駐データを盗み出す可能性があります。 |
|
マザーボード |
JTAG(Joint test access group)XDP(eXtended Debug Port) |
この攻撃では、ハードウェア デバッグ ツールを接続して、コードの実行権限を取得したり、CPU で処理されるデータにアクセスします。 |
|
ネットワーク |
イーサネット ケーブル |
この攻撃では、イーサネット ケーブルを傍受して、デバイス間で転送されるすべてのデータにアクセスします。クリアテキスト トラフィックはすべて監視されます。 |
|
マザーボード |
ファームウェア |
この攻撃により、不正なファームウェアが永続的に導入される可能性があります。このファームウェアは、侵害されたメーカーからプリインストールされているか、配送中に侵害されたか、内部関係者によって更新された可能性があります。この脅威により、サーバーにバックドア アクセスを提供するルートキットを含むハッキングされたハードウェアが使用される可能性があります。 |
|
論理アクセス権を持つ悪意のある内部関係者 |
コンピューティング ワークロード(VM など) |
ログイン ポイント |
この攻撃では、内部関係者の認証情報を使用して、VM またはホストとそのデータに直接アクセスします。 |
ファブリック ルーター |
物理アクセスまたは管理者権限 |
この攻撃では、ファブリック ルーターを root 権限で乗っ取り、すべてのトラフィックを盗聴し、ファブリックで転送中のクリアテキスト データを盗み出したり、改ざんしたりします。 |
|
マザーボード |
ファームウェア |
この攻撃では、欠陥のあるファームウェア イメージがマザーボードにプッシュされ、マザーボードが完全に動作しなくなり、データが復元できなくなる可能性があります。 攻撃者は、既知の脆弱性のあるファームウェアをマシンにプッシュし、リモートコード実行を可能にするエクスプロイトを使用して、制御を取得する可能性があります。 |
|
論理アクセス権を持つ外部攻撃者 |
サーバー |
VM |
この攻撃では、VM で一般公開されているサイドチャネル攻撃パターンが開始される可能性があります。このような攻撃により、同じハードウェアで実行されているインスタンスやホストシステム ソフトウェアからデータが流出する可能性があります。 |
SSD |
VM |
この攻撃では、PCIe SSD への直接アクセスを使用して、共同テナントデータを推測しようとします。 |
|
メモリ |
VM |
この攻撃ベクトルは、サイドチャネルを使用して、メモリ内で貴重な暗号鍵を検索する可能性があります。 |
|
サーバー |
ベアメタル VM |
この攻撃ベクトルは、ベアメタル インスタンスを使用してすべての周辺機器をスキャンし、マシンに永続化して後続のテナントの攻撃に利用できる脆弱なコンポーネントを特定する可能性があります。 |
Titanium ハードウェア コンポーネントと脅威のマッピング
Titanium ハードウェア セキュリティ アーキテクチャは、マルチレイヤ アプローチを使用して、特定のインフラストラクチャの脅威に対処し、単一障害点を防ぎます。これらの脅威は、誤りや悪意のある行為者によって発生する可能性があります。こうした脅威はハードウェアの運用全体で、サーバー、ネットワーク、コントロール プレーンの脆弱性を悪用する可能性があります。攻撃ベクトルのすべてに対応できる単一のソリューションはありませんが、Titanium の機能を組み合わせることで、ユーザーデータとクラウド コンピューティング インスタンスを保護できます。
シナリオ: 不正なハードウェア操作
不正なハードウェア操作は、データセンターからのデータの引き出しや、ハードウェアとファームウェアの変更につながる可能性があるため、データ セキュリティに脅威をもたらします。Google の Titanium ハードウェア セキュリティ アーキテクチャは、暗号 RoT、カスタム マザーボード、I/O プロセッサなど、さまざまなセキュリティ対策を使用して、こうした脅威から保護します。これらのコンポーネントは連携して機能し、幅広い攻撃に耐える多層防御を提供します。
次の表に、不正なハードウェアの脅威の例と、Titanium アーキテクチャでそれらの脅威を軽減する方法を示します。
| 脅威 | Titanium の軽減策 |
|---|---|
攻撃者は、データセンターから個々のデータドライブを抜き出し、そのデータにアクセスします。 |
ストレージ プロダクトとサービスの保存時の暗号鍵は、ストレージ メディアが接続されているマシンに永続的に保存されることはありません。多層防御のためにストレージ メディアの組み込みの自己暗号化機能も有効になっています。メディア自体に永続的に保存されることはありません。 Caliptra RTM により、Google は、鍵管理サービスからストレージ サービス インスタンスに鍵をリリースするために必要な承認条件として、ルート オブ トラストとなるハードウェア ID とファームウェアの整合性を追加しています。意図しないファームウェアで悪意を持って構成されたマシンは、保存されているデータの復号に必要な鍵にアクセスできません。シリコン パッケージに埋め込まれた RoT は、関連する暗号 ID をチップ パッケージ内に固定します。 単一機能のインターポーザはデータプレーン セキュリティの主要部分であり、すべての処理ステップでデータを暗号化します。TOP には次の利点があります。
dm-crypt などの実績のあるソフトウェア ソリューションは、攻撃対象領域の削減が最優先される低パフォーマンス ドライブ(一部のブートディスクのユースケースなど)に使用されます。 |
攻撃者がネットワーク ケーブルを傍受し、ワイヤーまたはファイバー上のバイトを読み取ります。 |
TOP は転送中のデータを暗号化するため、脅威がネットワーク上の貴重なデータをスニッフィングする機会を排除します。 Google の NIC は PSP ハードウェア オフロード標準を使用します。この標準では、パフォーマンスの低下を最小限に抑えながら、費用対効果に優れた暗号化が実現されます。これらの実装は FIPS に準拠しています。 お客様のデータは、トップオブ ラック(ToR)またはファブリック スイッチを通過するときに暗号化されます。一部の ML インフラストラクチャでは、独自のトランスポート セキュリティ メカニズムが使用されています。 |
攻撃者は、データセンターまたはサプライ チェーンで変更可能なコードを保持するフラッシュ チップを交換し、サーバーで悪意のあるコードを実行します。 |
Titan チップは攻撃を拒否するように設計されており、内部に保存されている認証情報にはアクセスできません。攻撃者が不揮発性フラッシュ チップのコンテンツを書き換えた場合でも、Titan RoT はコードの測定値を Google のコントロール プレーンに安全に報告します。このコントロール プレーンはデバイスをブロックするように設計されています。Google は、Titan チップを使用して、非推奨のコードや既知の脆弱性のあるコードを世界規模で定期的に無効にしています。 |
攻撃者は、データセンターのサーバーまたはカードの物理インターフェースに不正なデバイスを挿入し、悪意のあるコードを実行したりデータを盗み出します。 |
カスタム マザーボード設計により、不正なデバイスの挿入に使用されるインターフェースが削除されます。 すべてのファームウェアで PCIe スクリーマーを防止するため、入出力メモリ管理ユニット(IOMMU)構成が設定されています。(PCIe スクリーマーは、PCIe ファブリックで任意のパケットを読み書きするように設計されています)。業界が成熟するにつれて、Google は PCI IDE でこの保護を補完し、より高度な PCI インターポーザをさらに軽減しています。 TOP と BMC の制御機能と管理機能で認証と認可のネットワーク接続として許可されるのは、ALTS と TLS のみです。 Caliptra RTM は未承認のファームウェアをブロックします。信頼できる周辺機器は、ハードウェア ID とコードの整合性をコントロール プレーンに証明します。構成証明レコードがハードウェアとソフトウェアの意図と一致しない場合、サーバーは本番環境に導入されません。 |
攻撃者は、データセンターでコールドブート攻撃を実行し、RAM 内のデータにアクセスします。 |
Confidential Computing のメモリ内暗号化は、RAM 内の機密データや暗号鍵を保護します。DRAM 暗号化は、Confidential Computing なしでデプロイされたマシンでも、信頼性の低いエッジ データセンターでも有効になります。 |
シナリオ: 不正なユーザーによるサーバーまたはネットワークの悪用
攻撃者は、パブリック クラウドを使用して、Google の共有インフラストラクチャに悪意のあるワークロードをホストし、Google のパブリック サービスにデータを保存する可能性があります。個人だけでなく、国家が外部攻撃者としてリモートで特権アクセスを取得しようとすることもあります。
このような攻撃を軽減するため、Titanium ハードウェア セキュリティ アーキテクチャでは、Titan チップと Caliptra RTM を使用して、ランタイム認証情報を安全にプロビジョニングし、ハードウェアとオペレーティング システムの権限を制限しています。Confidential Computing は、物理的な方法であれ、ハイパーバイザ攻撃であれ、システムメモリの不正操作の防止に役立ちます。Titan チップは、不正なソフトウェア アップグレードを拒否または検出します。
次の表に、サーバーとネットワークを悪用する脅威の例と、Titanium アーキテクチャでそれらを軽減する方法を示します。
| 脅威 | Titanium の軽減策 |
|---|---|
攻撃者は脆弱性を悪用して VM から離脱し、同じマシンで実行されているデータや他の VM にアクセスします。 |
Confidential Computing エンクレーブは、処理中または保存中のワークロード データの漏洩を防ぎます。この軽減策により、VM から離脱した攻撃者が使用中のデータにアクセスできなくなります。 Titan チップと Caliptra RTM は、攻撃者が永続的にアクセスできないようにします。マシン構成がそのサーバー構成とコードポリシーに一致しないため、永続的なアクセスの試みが検出されます。この照合は、マシンが再起動してから本番環境ワークロードをホストする前までに実行する必要があります。 |
攻撃者が VM で一般公開されているサイドチャネル攻撃パターンを開始します。 |
Google のフリート管理システムは、Titan チップを使用して、既知の脆弱性のあるソフトウェアを取り消すことができます。取り消しを行うと、これらの既知の脆弱性を標的とするその後の攻撃をブロックできます。また、Titan ベースの完全性測定により、緊急にデプロイする必要がある軽減策をターゲット マシンに確実にデプロイできます。 Google は、retpoline やコア スケジューリングなどの手法や、Meltdown、Spectre、Zenbleed、Downfall などの高度な研究を通じ、サイドチャネルの調査と軽減策の最前線に立ち、このアプローチを強化しています。 |
攻撃者は、複数のテナントにストレージを提供する SSD に直接アクセスして、共同テナントデータを推測しようとします。 |
保存データの暗号化は、さまざまなインターポーザを使用して、論理攻撃と物理攻撃を防ぎます。共有されていないリソースの場合、各テナントのデータは異なる鍵を使用して暗号化されるため、SSD に対する直接アクセス攻撃の機会が軽減されます。 |
攻撃者はメモリをスキャンし、サイドチャネルを使用してデータの暗号鍵または認証情報を検索します。 |
Titan チップを使用すると、マシンごとにシールされた認証情報をプロビジョニングできます。攻撃者が 1 台のマシンで root アクセス権を取得した場合でも、その認証情報はローカルの Titan チップのプライベート ID にのみバインドされます。 |
攻撃者は、ベアメタル インスタンスを購入し、すべての周辺機器をスキャンして永続的なアクセスを試みます。 |
Titan チップは、不正なプッシュによる永続的な制御など、不正なソフトウェアのアップグレードを拒否します。Google のマシン ワークフローは、ベアメタル ユーザー間の完全なシステム証明の電源サイクル全体で、期待される完全性測定を確実に実施します。 |
シナリオ: 不正なコントロール プレーンの動作によるサーバーまたはネットワークの悪用
悪意のあるコントロール プレーンの内部関係者は、ファブリック ルーターのルート制御の取得、不良なファームウェア イメージのマザーボードへのプッシュ、ネットワーク トラフィックの盗聴など、さまざまな方法で Google のシステムを悪用しようとする可能性があります。Titanium ハードウェア セキュリティ アーキテクチャは、Titan チップ、Caliptra RTM、カスタム マザーボード、フォールト トレラントで分離されたバックエンド サービスなど、さまざまなメカニズムを駆使して、これらの脅威から保護します。
次の表に、コントロール プレーンの脅威と、Titanium アーキテクチャでそれらの脅威を軽減する方法を示します。
| 脅威 | Titanium の軽減策 |
|---|---|
攻撃者は内部関係者の認証情報を使用して、お客様の環境の基盤レイヤとして機能する Compute Engine VM にアクセスします。 |
TOP は、管理者がお客様の環境にアクセスできないようにします。アクセス権がないため、Google の担当者は認証情報を使用して、お客様の VM の下にある特権ハードウェア レイヤとソフトウェア レイヤにアクセスできません。データにアクセスできるのは定義済みの API を介してのみであるため、Google 社員による顧客データへのアクセスはブロックされます。 |
攻撃者が不良なファームウェア イメージを大量にマザーボードにプッシュし、マザーボードを永続的に動作不能にします。 |
Titan チップの RoT は、永続的に制御するための悪意のあるプッシュなど、不正なソフトウェアのアップグレードを拒否します。 カスタム マザーボード設計では、すべての RoT をプラットフォーム RoT に相互接続する代替のシグナル ネットワークを使用します。プラットフォーム RoT には、重要なデバイスのバックアップ ファームウェアが保持されます。ネットワークと PCI が攻撃者によって破損した場合でも、アウトオブバンド(OOB)ネットワークを使用してシステムを復元できます。 |
攻撃者は、既知の脆弱性がある非推奨の本番環境ファームウェアをマシンにプッシュし、公開されている脆弱性を悪用して制御を復元します。 |
Titan チップは不正なプッシュを拒否し、既知の脆弱性のあるコードの取り消しを適用します。マシンにデプロイされたファームウェア バージョンを証明し、コントロール プレーンでマシンを拒否します。この軽減策は、異常なマシンでジョブが実行されないようにし、必要に応じて調査または修復をトリガーします。 |
攻撃者は、ビジネス継続に必要なシリコン デバッグ機能を悪用します。この機能は、サーバー システムで考えられる最高レベルのデータアクセスを提供します。 |
Caliptra RTM は、論理的に接続されているか、物理的に直接挿入されているかにかかわらず、侵入型デバッグ インターフェースを有効にするすべてのパラメータが信頼できる方法で構成され、暗号的に測定され、構成証明プロトコルを使用してコントロール プレーンに報告されるようにします。目的の状態にあるマシンのみが、本番環境ワークロードの処理にアクセスできます。 |
攻撃者は、1 つのバックエンド サービスを乗っ取り、お客様の環境にアクセスする可能性があります。 |
フォールト トレラントなリージョン単位のバックエンド サービスは、人間による一方的なアクセスを許可しないリージョン単位の認証情報インフラストラクチャです。オペレーターがコンピューティング ノードにログインできないだけでなく、オペレーターはコントロール プレーンにログインして鍵マテリアルを取得することもできません。 Titanium アーキテクチャの Confidential Computing エンクレーブは、バックエンドの認可サービスと鍵のプロビジョニング サービスをマシンの root 権限から分離します。 鍵階層は、ほとんどのサービスの署名鍵と認可鍵を保護するうえで役立ちます。鍵階層では、ルート鍵は HSM に安全に保管されるエアギャップ鍵か、インメモリ データストアの Paxos クォーラムによって本番環境で保管される鍵です。 |
次のステップ
- インフラストラクチャのセキュリティ設計の概要を確認する。
- Confidential Computing を実装する。
作成者: Andrés Lagar-Cavilla、Erlander Lo、Jon McCune、Chris Perry