账号:
密码:
最新动态
产业快讯
CTIMES / 文章 /
端到端安全虚拟化 为工业控制和电信应用护航
 

【作者: Charlie Ashton】2018年05月23日 星期三

浏览人次:【5181】


在工业控制和电信应用领域上,虚拟化技术对于业务层级的助益逐渐被理解。全世界的企业对真实世界中的应用情景进行分析,并据此得出结论—大幅度节省整个生命周期营运成本的目标是可以实现的,只要部署的是基于与软体开放标准相容的虚拟化系统;而不是传统上专有的、功能固定并在架构上被供应商锁定的设备。这种不可阻挡的趋势,背后的推动力来自业内的组织机构与活动,例如工业自动化业界的开放式过程自动化论坛(OPA),以及电信业的NFV(OPNFV)开放平台。


然而,在朝向虚拟化基础设施的转变趋势,关于安全性的担忧却逐渐提升。因为软体系统部署在网路边缘,通常无人监看,其设备的安全性也没有保障。


山坡上的风力发电机、野外高塔上的移动通信基地台,这些设备的控制系统都很容易受到自然环境的影响,被恶意的破坏和遭受攻击。如果骇客从边缘位置中找到脆弱点入侵网路,很可能对电信服务供应商造成经济损失;若遭到攻击的是工业控制应用产品,可能造成更大的灾难事件。


同时,这些领域中部署的系统使用周期较长,意味更容易随着时间的推移面临到新的威胁,这些威胁在软体最初安装时无法被预料,也就无法预先采取保护措施。


对于关键基础设施应用,企业都需确保所部署的软体系统,置于高度安全架构的保护伞之下,有能力防止未被授权的软体被轻易安装;然而系统一旦启用,就应该被全面保护,同时又要能支援被经过认证授权的软体,进行远端安装与更新,才能随时应对可能的威胁。


针对这些挑战,Wind River将一整套全面性的安全机制纳入最新版本的Wind River Titanium Cloud虚拟化平台之中,为关键性基础设施提供可靠的保障。在工业控制应用面上,强化的安全机制已被整合到Titanium Control产品之中,对电信应用则提供了Titanium Core、Titanium Edge和Titanium Edge SX,以适应不同部署地点和配置的需要。


在更新或修补期间,当导入补丁和ISO映射时,Titanium Cloud使用加密签名来对档案的真实性和一致性进行验证。只有被Wind River加密签名的补丁和ISO才可以在Titanium Cloud之中安装。 Wind River在开发Titanium Cloud补丁时,在构建阶段就已经被签名了,并且将私密金钥存储在安全签名伺服器上,此后的公开金钥验证都以内置云端平台来实现。补丁的签名包含在补丁存档中,并在上传时用于验证。类似的过程也适用于Titanium Cloud的ISO映射,在这种情况下签名是被储存在一个单独的档中。使用这种密码签名,软体平台在维护操作期间能被全面保护。


Titanium Cloud的一致性测量体系架构(Integrity Measurement Architecture,IMA)使用安全引导过程确保初始引导载入程式和主机平台内核的完整性、用户空间环境的一致性,同时检测和报告已经执行过的可执行档。 IMA对主机档关键子集的完整一致性持续进行监控,当档案被点选时,测量和保存档案的杂凑值 (hashed value of files),以便检测档案是否曾经被篡改,同时记录任何可能显示主机平台档的完整一致性已遭到破坏的迹象。


在Titanium Cloud中的虚拟可信平台模组Virtual Trusted Platform Module (vTPM),虚拟化功能的安全性至少能确保与最新硬体技术所提供的安全级别一样高。 TPM是一项国际标准,基于Intel可信执行技术(Intel)TXT,Intel Trusted Execution Technology是一种安全密码处理器规范,最初是一种专用微控制器,将加密资料整合到设备中,设计目标就是要能对硬体的安全性提供保护。 软体使用TPM来对硬体设备进行验证,由于每个TPM晶片在制造过程中都被唯读写入了独一无二的RSA金钥,因而具备做为平台认证的依据。


由于公司采用虚拟化的关键基础设施,他们希望能够部署行业标准伺服器,可能不包括硬体TPM。为了解决这个问题,Titanium Cloud vTPM 包括了一个基于软体的完整TPM,这就使Titanium Cloud能够对vTPM及其非易失性资料进行安全的管理,并且覆盖整个虚拟机器的生命周期,包括连同相关VM一起进行迁移。 vTPM设备被配置为与物理TPM完全相同,应用软体本身不需要做改变,其行为就如同从物理TPM启动一样。


对于关键的基础设施应用,Titanium Cloud vTPM 功能确保了完整安全的端到端引导过程。


从固定功能的物理设备迁移到基于开放标准的软体,这样做的好处之一是让企业可以应用来自创新软体公司的各种安全产品。透过Titanium Cloud合作伙伴生态系统,Wind River与供应商合作提供多项的功能,例如防火墙、安全闸道、深度封包检测(DPI)和入侵防御系统(IPS)。借助于Titanium Cloud对合作伙伴产品的正确运作进行验证,Wind River支援企业客户利用先进的安全软体,放心使用这预先经过验证的联合解决方案。


(本文作者Charlie Ashton任职于Wind River公司)


相关文章
AI赋能智慧边缘 行动运算处理器的时代革命
前进垂直应用市场 微控制器低功耗方向确立
时间敏感型网路解决方案消弭工业物联网通讯缺囗
无桥图腾柱功率因数校正控制器 实现AC-DC 功率转换效益
2022年蜂巢式物联网发展趋势预测
comments powered by Disqus
相关讨论
  相关新闻
» 鼎新电脑携手和泰丰田解缺工 以数位劳动力开启储运新时代
» Fortinet SASE台湾网路连接点今年落成 全台巡??落实云地零信任资安
» Ansys模拟分析解决方案 获现代汽车认证为首选供应商
» SOLIDWORKS公开演示未来AI 率先导入工业设计软体应用
» BMW与达梭系统合作 打造3DEXPERIENCE未来工程平台


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK83T2ECANOSTACUK9
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw