Intel® Security Libraries for Data Center (Intel® SecL - DC)

Créer un Cloud fiable, protégé et contrôlé avec une racine de confiance matérielle.

Présentation

Le Cloud Computing s'est imposé auprès des consommateurs, des entreprises et d'autres entités. L'adoption du Cloud hybride a été multipliée par trois en 2017.1 Selon Gartner, d'ici 2020, une entreprise sans Cloud sera aussi rare qu'une entreprise sans Internet de nos jours1. Néanmoins, les risques de sécurité dans le Cloud représentent toujours le premier obstacle à une adoption généralisée de cette technologie.

Les solutions de sécurité Cloud basées sur du matériel fournissent un niveau de protection supérieur par rapport aux mesures de sécurité uniquement logicielles. Les plateformes Intel comportent de nombreuses technologies de sécurité qui peuvent servir à protéger les données des clients dans le Cloud. Malheureusement, à cause de l'absence d'outils d'intégration et de déploiement des solutions, nos clients ont éprouvé des difficultés à adopter et déployer ces technologies à grande échelle. Pour relever ces défis, nous avons créé Intel® Security Libraries for Data Centers (Intel® SecL - DC, bibliothèques de sécurité pour datacenters) afin d'aider nos clients à adopter et déployer à très grande échelle les fonctions de sécurité ancrées dans nos processeurs. Les composants logiciels d'Intel® SecL - DC fournissent des solutions de sécurité Cloud de bout en bout avec bibliothèques intégrées. Les utilisateurs ont le choix entre développer leurs solutions de sécurité personnalisées avec les bibliothèques fournies ou déployer les composants logiciels dans leur infrastructure existante.

Instaurer la confiance dans la plate-forme et établir des limites dans le Cloud

Intel® SecL - DC répond aux préoccupations de sécurité fondamentales que rencontrent les abonnés aux services Cloud lorsqu'ils procèdent à la migration de leurs applications ou charges de travail dans le Cloud, c'est-à-dire :

  1. Comment identifier un serveur de confiance ?
  2. Comment contrôler l'endroit où les charges de travail atterrissent ?
  3. Comment le fournisseur de services Cloud (FSC) se protège-t-il contre les menaces avancées des programmes malveillants (malware) ?

Ces problèmes de sécurité fondamentaux peuvent être atténués à l'aide des fonctions de sécurité matérielle disponibles sur les plateformes Intel® Xeon®. Intel® SecL - DC crée une solution fiable grâce à laquelle les abonnés aux services Cloud peuvent transposer leurs applications en toute sécurité dans le Cloud. Intel® SecL - DC s'appuie sur ces technologies de base pour fournir un niveau de protection supérieur pour les applications et les données dans le Cloud.

Chaîne de confiance ancrée dans le matériel

Les solutions de sécurité qui s'appuient sur des technologies de sécurité matérielle présentent de nombreux avantages par rapport aux solutions de sécurité uniquement logicielles. Elles renforcent généralement la sécurité et les performances. Par exemple, les modules de sécurité matérielle (HSM) ont été largement déployés pour protéger les clés de chiffrement, car ils offrent le niveau de protection le plus élevé pour les clés. Malheureusement, les HSM sont très chers et difficiles à intégrer rapidement à un datacenter. Par conséquent, une solution équilibrée s'avère nécessaire pour profiter des avantages des deux côtés.

La solution Intel® SecL - DC est conçue pour exploiter les fonctions de sécurité matérielle de la plate-forme, fournir un modèle de déploiement simple d'emploi et des utilisations pré-validées en matière de sécurité que les fournisseurs de services Cloud ou les éditeurs indépendants de solutions de sécurité intègrent à leur infrastructure Cloud existante. Les plateformes Intel comportent de nombreuses technologies de sécurité. Intel® SecL - DC crée des bibliothèques et des composants ancrés à partir de ces technologies matérielles et permet aux utilisateurs de découvrir et de déployer sans effort ces technologies à grande échelle.

Architecture Intel® SecL - DC

Intel® SecL - DC fournit une architecture flexible, facile à intégrer et à déployer. Voici les deux principaux aspects de cette architecture :

1. Un ensemble de bibliothèques qui fournissent les principales fonctions de sécurité et des API logicielles. Cet aspect répond aux besoins des clients qui veulent développer leur solution personnalisée.

2. Une liste de composants et de services qui fournissent des API REST prêtes à l'emploi avec les bibliothèques incluses.

Comme ces composants et services passent par les processus standard de développement SDL et de test QA d'Intel, tous les composants et bibliothèques Intel® SecL - DC ont été pré-validés et testés. Le client final peut ainsi les intégrer facilement, sans système d'exploitation Cloud existant comme OpenStack*, pour raccourcir les délais de commercialisation de ses solutions. Chaque bibliothèque et composant fournissent des API standard et sont auto-contenus pour fournir des fonctions et des services bien définis. En outre, les utilisateurs ont la latitude de choisir une bibliothèque, un composant ou une liste de composants à intégrer à leur infrastructure Cloud pour renforcer la sécurité.

Architecture de la solution

Le schéma ci-dessous illustre l'architecture de base de la solution for Intel® SecL - DC. On trouve principalement deux composants : l'agent de confiance déployé sur le nœud et le service de vérification qui peut être déployé sur une machine physique ou virtuelle ou sous forme de conteneur dans le Cloud. L'agent de confiance Intel® SecL - DC prend en charge Linux et Windows. Le service de vérification permet la vérification des nœuds avec des serveurs Linux, Windows et VMware ESX*. Il n'y a cependant aucun agent de confiance Intel® SecL - DC à déployer sur un hôte ESX. Les deux composants (agent de confiance et service de vérification) incluent plusieurs bibliothèques qui fournissent des fonctions fondamentales que les éditeurs indépendants de solutions de sécurité ou les développeurs peuvent choisir pour leurs solutions personnalisées.

Architecture Intel® SecL - DC

Comme indiqué plus haut, Intel® SecL - DC apporte une solution aux deux problèmes fondamentaux de sécurité dans le Cloud : « la confiance et le contrôle de la souveraineté des données ». Intel® SecL - DC est capable de déterminer la fiabilité d'un hôte dans le datacenter ou le Cloud. La confiance repose sur les technologies de sécurité de la plate-forme sous-jacente qui utilisent la technologie d'exécution fiabilisée Intel® (Intel® TXT) et le module TPM (Trusted Platform Module) pour réaliser des mesures du matériel jusqu'à la pile logicielle. L'agent de confiance exécuté sur l'hôte au niveau du système d'exploitation collecte la mesure de confiance en toute sécurité et transmet au service de vérification (sur demande de celui-ci) le manifeste de l'hôte incluant la mesure et le journal. Le service de vérification de l'hôte compare ensuite le manifeste de l'hôte à des stratégies de confiance établies (appelées flavor dans le format XML). Si le manifeste de l'hôte trouve une flavor définie, l'hôte est identifié comme étant fiable avec un rapport SAML qui peut être consommé par d'autres logiciels de gestion Cloud comme des orchestrateurs.

Le schéma ci-dessous illustre l'architecture interne de l'agent de confiance (à droite) et du service de vérification (à gauche) Intel® SecL - DC. Chaque composant exécute un service qui fournit des API REST sûres pour la communication. Le service de vérification contient plusieurs bibliothèques intégrées (flavor, verifier, SAM, host connector, etc.). L'agent de confiance intègre la bibliothèque contenant les informations sur la plate-forme et la bibliothèque Tpm Provider. Outre les bibliothèques, chaque composant comporte un autre code d'intégration qui guide le flux et les interfaces parmi les bibliothèques. Nous parlerons plus en détail des bibliothèques dans la section ci-dessous.

Composants et bibliothèques Intel® SecL - DC

La facilité d'emploi et la souplesse de gestion constituent un obstacle fondamental à l'adoption d'une solution de sécurité dans un datacenter ou le Cloud. Si de nombreuses solutions offrent des avantages en termes de sécurité, leur déploiement représente souvent un cauchemar pour l'utilisateur final. L'architecture Intel® SecL - DC a d'emblée été pensée dans une optique de souplesse de gestion.

Tout d'abord, l'agent de confiance peut être déployé (dans le cadre de l'approvisionnement du système d'exploitation de l'hôte ou installé ultérieurement) et approvisionné (approvisionnement du module TPM et du service d'attestation) avec souplesse lors d'une phase suivante. Le déploiement et l'approvisionnement peuvent aussi être réalisés en même temps.

Ensuite, le service de vérification offre plus de flexibilité pour la gestion des stratégies de confiance (listes blanches) de l'hôte. La liste blanche est représentée au format XML (appelée flavor dans Intel® SecL - DC). La version de confiance du BIOS et sa mesure attendue peuvent être définies sous forme de flavors, tandis que les versions de confiance du système d'exploitation et leur mesure attendue peuvent être définies comme flavors du système d'exploitation. Enfin, la combinaison BIOS/système d'exploitation peut être définie comme une flavor pour un hôte spécifique.

En troisième lieu, il est possible de définir une stratégie de correspondance pour déterminer si un hôte (version attendue du BIOS ou du système d'exploitation) est fiable. Cette stratégie peut être définie comme un groupe de flavors, chaque groupe pouvant posséder sa propre stratégie de correspondance. Quand un hôte est enregistré, il peut être associé à un groupe de flavors possédant sa stratégie de groupe. Par exemple, si un administrateur Cloud veut uniquement savoir s'il peut faire confiance au BIOS, il peut créer un groupe de flavors à respecter. S'il souhaite plutôt appliquer une stratégie spécifique à l'hôte, il peut créer un groupe de flavors pour chaque hôte et disposer d'une stratégie à appliquer à cet hôte spécifique.

Pour la souveraineté des données, Intel® SecL - DC prend en charge la fourniture d'informations sur les balises de ressources (asset tag) aux hôtes gérés via l'API REST fournie à l'aide de l'agent de confiance et du service de vérification. Après l'approvisionnement, l'agent de confiance peut présenter ces informations dans le rapport du manifeste de l'hôte, sur demande du service de vérification. Ce dernier peut confirmer l'intégrité de l'hôte et les informations sur les ressources, puis présenter les informations certifiées sous forme de rapport SAML.

Intégration d'un outil d'orchestration du Cloud

Intel® SecL - DC peut être facilement intégré à l'infrastructure Cloud existante pour résoudre des problèmes complexes de confiance et de souveraineté des données dans le Cloud. Intel® SecL - DC fournit des API REST et des plug-ins sûrs pour l'intégration. Le schéma ci-dessous montre comment Intel® SecL - DC peut être intégré à OpenStack*.

Dans le coin supérieur droit de la Figure 3 (intitulée Architecture d'intégration Cloud Intel® SecL - DC), nous avons l'orchestrateur Cloud (OpenStack*) qui gère les hôtes comme des hyperviseurs et planifie la charge de travail (machines virtuelles). La relation est représentée par les lignes en pointillés orange. Le composant « centre d'attestation Intel® SecL - DC » est introduit pour fournir une empreinte flexible et minimisée dans l'infrastructure Cloud existante. Son rôle consiste à extraire les rapports SAML de l'hôte (notamment le statut de confiance de l'hôte et les informations des balises de ressource) et à transmettre ces informations à l'orchestrateur Cloud sous forme de flavors ou de treats (selon la version d'OpenStack*).

Avec le statut de confiance et les informations des balises de ressource fournies à l'orchestrateur Cloud, le planificateur Cloud peut programmer sa charge de travail en fonction des informations de l'hôte et de la stratégie de lancement des MV. Cette stratégie peut indiquer si la charge de travail doit être programmée sur un hôte de confiance et à un emplacement souhaité. La stratégie des charges de travail peut être spécifiée par l'administrateur Cloud ou jointe aux métadonnées d'une image de MV. Dans ce cas, chaque MV lancée à partir de l'image avec la stratégie de confiance et d'emplacement doit être programmée sur un hôte qui répond à cette exigence.

Architecture d'intégration Cloud Intel® SecL - DC

Bibliothèques

Le tableau suivant répertorie les bibliothèques actuellement fournies par Intel® SecL - DC. Il existe deux catégories de bibliothèques. La première devrait être déployée sur la plate-forme (nœud/serveur) pour collecter des informations sur la plate-forme et prendre en charge l'accès au module TPM sur différents systèmes d'exploitation (Linux et Windows). Du côté du service de vérification, l'autre catégorie est la bibliothèque qui permet de définir, gérer et vérifier le statut de l'hôte avec la stratégie de confiance (flavor).

Bibliothèques

Description

Bibliothèques de services

Host Connector (HCL)

Se connecte à différents types d'hôte (Linux, Windows, ESX) pour récupérer des informations sur l'hôte et le module TPM

Flavor Library (FVL)

Gère la valeur whitelist (liste blanche) et l'enregistrement de l'hôte au format flavor (XML)

Verifier Library (VFL)

Vérifie si un hôte est approuvé en comparant le manifeste récupéré auprès d'un hôte aux flavors (stratégies) définies

Privacy CA (PCL)

Génère et gère les certificats TPM AIK, de liaison et de signature

SAML Generator (SGL)

Génère des rapports d'attestation pour le statut d'attestation des hôtes ou MV au format SAML

 

TDT Service

 

Bibliothèques de plateformes

PlatformInfo (PIL)

Collecte les informations concernant le matériel de l'hôte (type ou version de TXT, TPM, etc.) et le système d'exploitation

TpmProvider (TPL)

Fournit des API cohérentes pour les fonctions TPM de base permettant de prendre en charge l'attestation des hôtes, quelle que soit la version du TPM (PTT) ou le type de dTPM et de système d'exploitation

TDT Library  

Ces bibliothèques fournissent des interfaces de programmation d'applications (API) standard que les développeurs intègrent à leurs produits.

Cas d'utilisation validés dans Intel® SecL - DC V1

La version initiale d'Intel® Security Libraries for Data Centers (Intel® SecL - DC) fournit les trois principaux cas d'utilisation intégrés et validés pour la sécurité : attestation d'intégrité de la plate-forme, souveraineté des données et détection des menaces. Les futures versions d'Intel® SecL - DC s'aligneront sur les prochains lancements de la plate-forme afin de permettre l'intégration de nouvelles technologies de sécurité dans les processeurs d'Intel. À présent, observons ces cas d'utilisation de sécurité inclus dans la version initiale.

Intégrité de la plate-forme

L'adoption du Cloud repose sur la confiance. Le cas d'utilisation de base pris en charge par Intel® SecL - DC consiste à identifier une liste de serveurs fiables en fonction des flavors définies par les utilisateurs. Cette identification de confiance se base sur la technologie Intel® TXT qui crée la racine de confiance pour la mesure provenant du matériel. Comme nous l'avons vu dans l'architecture ci-dessus, Intel® SecL - DC fournit un plan flexible pour définir la flavor de confiance et l'attestation des serveurs.

Souveraineté des données

Intel® SecL - DC assure l'approvisionnement et l'attestation fiables des balises de ressource de la solution de souveraineté des données. Chaque hôte géré est approvisionné avec un certificat de balises de ressource qui inclut les informations concernant l'hôte et d'autres informations sur les balises de ressource comme la géolocalisation. Ce certificat peut être généré par le service de vérification à l'aide des API REST fournies, tandis que le hachage du certificat est fourni à chaque hôte individuel et stocké dans la mémoire NVRAM du module TPM (version 1.2 ou 2.0). Quand l'hôte redémarre, le hachage du certificat de balises de ressource est étendu à la valeur PCR du TPM. Ces informations sont transmises au service de vérification avec d'autres détails du manifeste de l'hôte pour vérification. Si la vérification aboutit, les informations détaillées sur les balises de ressource sont intégrées au rapport SAML de l'orchestrateur Cloud pour le placement des charges de travail en fonction de la stratégie définie.

Technologie Intel® Threat Detection (Intel® TDT)

La technologie Intel® Threat Detection (Intel® TDT) utilise les données de télémétrie de bas niveau du processeur pour la détection précoce des menaces avancées des programmes malveillants. Intel® TDT fournit des API open source pour permettre aux éditeurs indépendants de solutions de sécurité et à nos clients d'intégrer à moindre coût une fonction matérielle de détection des menaces à leurs solutions de sécurité. En outre, cette technologie emploie des algorithmes de classification et de modélisation basés sur le machine learning pour apprendre les comportements des systèmes et profiler les menaces. Si une activité suspecte est détectée à l'exécution, des notifications sont générées pour une analyse plus approfondie et pour réparation par l'application de sécurité (Figure 3). Les API TDT, le framework de télémétrie et le pipeline de ML permettent aussi aux éditeurs indépendants de solutions de sécurité de créer leur propre méthode heuristique pour faire face à d'autres menaces dignes d'intérêt.

Pile logicielle Intel® TDT pour la télémétrie de la plate-forme

S'appuyer sur les efforts du passé

Avant Intel® SecL - DC, l'Open Cloud Integrity Technology (Open CIT) a été publiée sous forme de projet open source prenant en charge certaines fonctions de base d'Intel® SecL - DC, mais en supplément. Si Intel® SecL - DC tire les enseignements de nos travaux sur Open CIT, ce produit offre une architecture interne améliorée, un meilleur alignement sur les technologies de sécurité de la plate-forme, une solution plus riche en fonctions, facile à déployer, ainsi que des utilisations totalement intégrées et validées pour les principales charges de travail des clients.

Conclusion

Intel® SecL - DC répond aux principales préoccupations de sécurité des clients qui veulent protéger leurs charges de travail dans le Cloud. Son architecture flexible permet aux éditeurs indépendants de solutions de sécurité et aux FSC d'intégrer facilement les technologies de sécurité avancées de la plate-forme, qui sont ancrées dans les processeurs d'Intel pour fournir un niveau de sécurité inégalé. La version initiale inclut les utilisations de sécurité intégrées : attestation de la plate-forme, souveraineté des données et technologie Intel® Threat Detection (Intel® TDT). Les futures versions d'Intel® SecL - DC fourniront des solutions de sécurité Cloud plus avancées pour assurer la protection des données, la protection en mémoire, la protection des applications, etc. Intel® SecL - DC est proposé sous licence libre BSD et continue de s'appuyer sur les bases solides de la communauté open source posées par son prédécesseur (Open CIT). Grâce à la technologie Intel® Threat Detection (Intel® TDT), Intel® Security Libraries for Data Centers (Intel® SecL - DC) ajoute des capacités avancées de détection des menaces.