Bir sıfır güven, donanım destekli güvenli alan orkestrasyon katmanı oluşturun, bu katman gizli bilgi işleme yüklerini heterojen bulut sağlayıcılar arasında yönetir, her mikro hizmet çağrısı için kriptografik tasdik doğrulamasını sağlar ve yüksek frekanslı ticaret ortamları için alt milisaniye gecikmeleri ile bellek izolasyonu garantileri sunar.

Sorunun yanıtı.

Mimari, heterojen Güvenilir Çalışma Ortamları (TEE’ler) arkasında Kubernetes operatörü ile birleştiren bir Alan Orkestrasyon Kontrol Düzlemi etrafında döner. Intel SGX2, AMD SEV-SNP, AWS Nitro Enclaves ve Azure Confidential Computing, sağlayıcıya özgü düğüm sürücüleri aracılığıyla entegre edilmiştir. Kontrol düzlemi, güven alanı bellek sınırlarını, tasdik politikalarını ve izolasyon gereksinimlerini açıkça belirten özel kaynak tanımları yönetir. Bu soyutlama, çoklu bulut ortamlarında tedarikçi bağımlılığı olmadan tutarlı dağıtım anlamları sağlar.

Her yük, bir gizli mikro hizmet olarak dağıtılır ve bir yan payda tasdik aracı ile eşleştirilir. Bu araç, donanım Güven Eşiği tarafından imzalanmış JSON Web Token (JWT) tasdiklerinin yerel bir önbelleğini tutar. Doğrulanan kimlik bilgilerini yerel olarak depolayarak, sistem kritik yol yürütme sırasında ağ gidiş dönüşlerini ortadan kaldırır. Yan payda, tüm gelen trafiği keserek, uygulama konteynerine talepleri iletmeden önce güven alanı ölçümlerine bağlı mTLS sertifikalarını doğrular.

Bir dağıtık tasdik doğrulama servisi, Merkle ağacı-tabanlı bir iptal kaydı uygular. Bu, izin verilen Yazılım Malzeme Faturası (SBOM) hash’lerine karşı güven alanı ölçümlerini eşzamanlı olarak doğrular. Hizmet, ticaret yürütme sırasında sıfır engelleme G/Ç sağlar ve iptal durumu güncellemelerini önceden getirir. Sonraki tutarlılık burada kabul edilebilir çünkü önbelleğe alınan tasdikler, proaktif yenileme ile kısa sona erme süreleri içerir.

Veri düzlemi, tüm hizmetler arası iletişimin şifreli tünellerden geçmesini sağlamak için eBPF interceptörlerini kullanır. Bu mTLS bağlantıları yalnızca güven alanı sınırları içinde sona erer, böylece etkisiz hale getirilen ana bilgisayar ağ yığınlarından kaynaklanan ortamdan adam saldırılarını önler. Uzaktan Doğrudan Bellek Erişimi (RDMA) optimizasyonları, düğümler arası güven alanı kümeleri için ağ yığınının yükünü ortadan kaldırır. Bu kombinasyon, yüksek frekanslı ticaret için katı alt milisaniye gecikme gereksinimini karşılar.

Hayattan bir durum

Küresel bir nicel ticaret firması, halka açık bulut bölgelerine özel alfa üretim algoritmalarını dağıtma ihtiyacı duyuyordu. Finansal borsalara yakınlık, rekabet avantajı için kritik öneme sahipti. Ancak, firma entelektüel mülkiyetini bulut sağlayıcı yöneticilerine veya destek personeline açamazdı. Çözüm, strateji mantığını ve gerçek zamanlı piyasa verilerini ayrıcalıklı saldırganlardan korumalıydı.

Ana zorluk, kriptografik izolasyonu sağlarken, sipariş yürütme için alt milisaniye gidiş-dönüş gecikmelerini korumaktı. 500 mikro saniyeden uzun bir gecikme, arbitraj fırsatlarını geçersiz hale getirir ve milyonlarca dolarlık gelir kaybına neden olurdu. Ek olarak, sistemin algoritmik ticaret denetim izleri ile ilgili SEC düzenlemelerine uyması gerekiyordu. Mimari ayrıca AWS, Azure ve yerinde Equinix veri merkezleri arasında heterojen donanımı desteklemeliydi.

İlk öneri, ana bilgisayar düzeyinde şifreleme ve veri dururken anahtarı yönetmek için Donanım Güvenlik Modülleri (HSM’ler) ile tam disk şifrelemesi kullanmaktaydı. Bu yaklaşım olgun araçlar ve Terraform ve Ansible ile düz bir DevOps entegrasyonu sağlıyordu. Ancak, bu, etkisiz hale getirilen hipervizörler veya çekirdek düzeyinde rootkitlerden gelen bellek dökme saldırılarına karşı koruma sağlamakta yetersizdi. Yaklaşım, fiziksel sunucu erişimi olan kötü niyetli bulut yöneticilerini içeren tehdit modelinin yetersiz olduğu düşünülüyordu.

İkinci yaklaşım, tüm mikro hizmet çağrılarını engelleyen Envoy yan payda proxyleri ile merkezi bir tasdik servisi kullanmaktaydı. Bu tasarım, her talepte Intel Tasdik Servisi (IAS) veya AMD Anahtar Dağıtım Servisi (KDS) üzerinden eşzamanlı Uzaktan Tasdik gerçekleştirmekteydi. Güçlü güvenlik garantileri sağlarken ve merkezi bir Open Policy Agent (OPA) kontrolörü aracılığıyla basitleştirilmiş politika yönetimi sunarken, ek ağ gidişatı 2-4 milisaniye gecikme getirmiştir. Bu, firmanın ticaret sistemleri için %99,999 çalışma süresi SLA’sını ihlal eden kritik bir kullanılabilirlik bağımlılığı oluşturmuştur.

Seçilen mimari, US-East-1 bölgesindeki AWS Nitro Enclaves, çıplak metal tesislerdeki Intel SGX2 ve Azure’daki AMD SEV-SNP ile bir hiyerarşik tasdik önbelleği gerçekleştirmiştir. Latans kritik yollar için işlem içi tasdik kütüphanesi ve denetim izleri için eşzamansız doğrulama sunmuştur. Yerel Sertifika İptal Listeleri (CRL’ler) ve Sparse Merkle Ağaçları, eşzamanlı ağ çağrıları olmadan üyelik kanıtları sağlamıştır. Apache Kafka’da bulunan bir ön kayıt günlüğü, ticaretten sonraki uyum için inkar edilemez kayıtlar tutmuştur.

Uygulama, işlem başına ortalama 0.3 milisaniye ek yük elde etmiştir. Kırmızı takım girişimlerine karşı başarılı bir şekilde dayanmış ve özel modelleri soğuk başlangıç saldırıları ve bellek adli analiz yoluyla çıkarmayı başaramamıştır. Firma, kriptografik iş yükü izolasyonu kanıtı gerektiren SOC 2 Tip II denetimlerini geçmiştir. Sistem artık veri ifşası olayları olmadan üç kıtada 100.000'den fazla ticareti aynı anda işlemektedir.

Adayların sıklıkla kaçırdığı şey

Büyük boyutlu veri kümesi işlenirken, Intel SGX’te sınırlı Güven Alanı Sayfa Hacmi (EPC) bellek kısıtlamalarına nasıl mimarlık yaparsınız ve düz metin veriyi güven alanı dışına açığa çıkarmadan?

Adaylar sıklıkla şifrelenmiş verileri güvenilmeyen belleğe sayfalamayı önermektedir, ancak güvenli sayfalama mekanizmasını ve güven alanı ile güven alanı olmayan bellek arasındaki MMU geçişlerinde var olan yan kanal risklerini göz ardı etmektedir. Doğru yaklaşım, güvenli olmayan algoritmalar kullanarak bellek izlerini belirsizleştirme sağlamak üzere Path ORAM yapılarını uygulamaktır, bu, bellek izlerinin veri içeriği veya erişim kalıpları hakkında hiçbir bilgi ifşa etmemesini sağlar. Akış işleme, veriyi güven alanı içinde CPU önbellek hatları içinde aşamalı olarak çözmekte ve tam bir malzeme haline getirmeden parçaları işlemektedir. Ayrıca, SGX2 dinamik bellek tahsisi kullanımı, modern sunucularda EPC'yi 1TB'ye kadar genişletmeyi sağlar, aynı zamanda veri bölme stratejileri, iş yüklerini birden fazla güven alanı arasında tutarlılık oluşturacak şekilde parçalar.

Intel TDX, AMD SEV-SNP ve AWS Nitro Enclaves arasındaki temel tehdit modeli farkı nedir ve bu, tasdik zincirinizin Sertifika Otoritesi hiyerarşisi tasarımını nasıl etkiler?

Birçok aday, tüm TEE'leri eşdeğer siyah kutular olarak değerlendiriyor ve Intel TDX’in hipervizör saldırılarına karşı koruma sağladığını ancak Intel imzalı Alıntı Güven Alanı ve Güven Domain Modülüne güvenilmesi gerektiğini anlamıyor. AMD SEV-SNP, bellek yeniden oynatma saldırılarını önler, ancak belirli işlemler için hipervizör kontrolündeki VMCI üzerinden saldırı yüzeyini açığa çıkarır, oysa Nitro Güven Alanları, güveni Nitro Hypervisor'da kaldıran AWS’ye özgü donanıma dayanır. Mimari, her TEE türünün donanım üreticisi CA'sına dayandığı ve Tasdik Raporlarını Güvenen Taraf politikalarına karşı doğrulamak üzere bir çapraz sertifikalandırma otoritesi ile köprü kurulduğu federasyona dayalı PKI uygulaması gerektirir. Bu, RA-TLS’in SGX için, SEV-ES sertifika zincirleri için AMD için ve Nitro TPM ölçümleri için AWS’ye yönelik olarak kriptografik süreklilik sağlanmasını garanti eder.

Farklı gizli mikro hizmetlerin aynı fiziksel CPU paketini paylaşırken, önbellek zamanlaması yan kanal saldırılarını nasıl engellersiniz, güven alanları L1TF veya CacheOut gibi spekülatif yürütme güvenlik açıklarına karşı koruma sağlamaz?

Bu, Kubernetes CPU pinning ve cpuset kısıtlamalarını kullanarak fiziksel çekirdek izolasyonunu zorlayan eş zamanlama politikaları uygulamayı gerektirir, bu da farklı kiracıları barındıran kardeş hiperenitler olmasını engeller. Kriptografik işlemler için sabit zaman programlama uygulamaları, dal tahmini ve önbellek erişim kalıpları aracılığıyla zaman sızıntılarını önler. Orkestrasyon katmanı, farklı kiracıların önbellek boşaltma saldırılarını önlemek için güven alanları arasında önbellek yol izolasyonu oluşturacak şekilde Intel CAT veya AMD QoS özellikleri ile önbellek bölümlendirme uygulamalıdır. Ayrıca, bellek erişim kalıplarını belirsizleştiren yazılım bazlı jitter ve gürültü enjeksiyon tekniklerinin uygulanması, işlemcinin fiziksel ana bilgisayarlar arasında güven alanı örneklerini sürekli döndürmesini sağlar.