作者:Charlie Ashton

在工业控制和电信应用中,虚拟化技术对于业务层级的效益正在得到更为深刻的理解。全世界的企业机构都已对现实世界中的应用情景进行了深入的分析,并据此得出了这样的结论——大幅节省全生命周期运营成本,这样的目标是完全可以实现的,只要我们部署基于软件开放标准兼容虚拟化系统,而不是基于传统上那种专有的、功能固定并且在架构上被提供商锁定的物理设备。这种不可阻挡的趋势,背后的推动力来自业内的组织机构与活动,例如工业自动化业界的开放式过程自动化论坛(OPA),以及电信业的NFV(OPNFV)开放平台。

然而,在这种朝向虚拟化基础设施的转变趋势中,关于安全性的担忧却在提升,这是完全合乎情理的。基于软件的系统越来越多地部署在网络边缘。这些地方通常并没有人员在守护,其物理安全也没有保障。

NFV Security

山坡上的风力发电机,野外高塔上的移动通信基站,这些设备的控制系统都很容易受到自然环境的影响和恶意的攻击破坏,以及软件方面的渗透。如果黑客可以从这些边缘位置中找到某个脆弱的点侵入网络,那么他就能在更广泛的网络中构成潜在的影响,很可能对电信服务提供商造成经济损失。如果遭到攻击的是工业控制应用,就可能造成更大的灾难性事件。

同时,在这些行业中部署的系统使用周期较长,这意味着它们会随着时间的推移而面临新的威胁,而这些威胁在软件最初安装时无法预料,也就不可能采取保护措施。

对于各种关键基础设施应用,企业都需要确保所部署基于软件的系统全都置于高鲁棒性安全体系架构的保护伞之下,有能力防止未授权的软件被安装进来,无论它们是恶意的还是无意的。而且整个系统一旦上电启用,就应该被全面保护起来,同时又应该支持经过认证授权的软件方便地进行远程安装与更新,以便应对随时出现的任何新的威胁。

因为充分认识到这些挑战,风河将一整套全面的安全机制纳入最新版本的Wind River Titanium Cloud虚拟化平台之中,为关键性基础设施提供可靠的保障。面向工业控制应用,这些增强的安全机制已被集成到Titanium Control产品之中,而面向电信应用则提供了Titanium Core、 Titanium Edge和Titanium Edge SX,以便适应各种不同部署地点和不同配置的需要。

在更新或修补期间,当导入补丁和ISO映像时,Titanium Cloud 使用加密签名来对文件的真实性和一致性进行验证。只有被风河加密签名的补丁和ISO才可以在Titanium Cloud之中安装。风河在开发Titanium Cloud补丁时,在构建阶段就已经被签名了,并且将私钥存储在安全签名服务器上,此后的公钥验证都以内置云平台来实现。补丁的签名包含在补丁存档中,并在上传时用于验证。类似的过程也适用于Titanium Cloud的ISO映像,在这种情况下签名是被存储在一个单独的文件中。使用这种密码签名,可靠地实现了软件平台在维护操作期间的全面保护。

Titanium Cloud 的一致性测量体系架构(IMA,Integrity Measurement Architecture)使用安全引导过程来确保初始引导加载程序和主机平台内核的完整性,保证用户空间环境的一致性,同时检测和报告已经执行过的可执行文件,不论这项执行出自恶意为之还是无意间偶然发生。IMA对主机文件关键子集的完整一致性持续进行监控。当文件被访问时,测量和保存文件的哈希值,以便检测文件是否曾经被篡改,同时记录下任何可能表明主机平台文件完整一致性已遭到破坏的迹象。

在Titanium Cloud中的虚拟可信平台模块(vTPM, virtual Trusted Platform Module)功能确保虚拟化功能的安全性至少达到与最新硬件技术所提供的安全级别一样高。TPM是一项国际标准,基于英特尔®可信执行技术(Intel®)TXT,Intel® Trusted Execution Technology)实现了一种安全密码处理器规范,最初是一种专用微控制器,将加密数据集成到设备中,设计目标就是对硬件的安全性提供保护。 软件使用TPM来对硬件设备进行验证。由于每个TPM芯片在制造过程中都被只读写入了独一无二的RSA密钥,因而具备做为平台认证的依据。

由于公司采用虚拟化的关键基础设施,他们希望能够部署行业标准服务器,可能不包括硬件TPM。为了解决这个问题,Titanium Cloud vTPM 包括了一个基于软件的完整TPM实现,这就使Titanium Cloud能够对vTPM及其非易失性数据进行安全的管理,并且覆盖整个虚拟机的生命周期,包括连同相关VM一起进行迁移。vTPM设备被配置为与物理TPM完全相同,并且对应用软件本身不需要做改变,其行为就如同从物理TPM启动一模一样。

对于关键的基础设施应用,Titanium Cloud vTPM 功能确保了完全安全的端到端引导过程。

从固定功能的物理设备迁移到基于开放标准的软件实现,这样做的好处之一是,企业可以应用来自创新软件公司的各种安全产品。通过Titanium Cloud合作伙伴生态系统,风河与供应商合作提供丰富的功能,例如防火墙、安全网关、深度包检测(DPI)和入侵防御系统(IPS)。借助于Titanium Cloud来对我们合作伙伴产品的正确运作进行验证,风河支持企业客户利用业界领先公司的安全软件,放心大胆地使用经过预先验证的联合解决方案。

最新版本的Titanium Cloud带有很多安全特性,这里重点讨论的是如何确保基于软件的关键基础设施系统能够拥有端到端的安全性。实际上这个产品还有许多其他的创新特色,例如简化了安装,降低了边缘部署和分布式云架构的成本。如果您想了解更多关于Titanium Cloud的信息,请浏览网站资料或联系风河,以安排面对面的讨论。