Verkon, infrastruktuurin ja verkon arkkitehtuurin monimutkaistuminen lisää sellaisten yhteyksien määrää ja monimuotoisuutta, jotka voivat olla verkkohyökkäysten kohteena. Elegantti tapa suojautua uhkilta on käyttää Silicon Motionin FerriSSD-asemia datan tallennukseen.

Uhkien kehittyminen ja uhkien heikko havaitseminen vaikeuttavat tietoturvakontrollien, -vaatimusten ja -uhkien kasvavan määrän seuraamista. Tietoturva on selvästi suuri huolenaihe tietoturvayhtiöille. Tarvitaan varotoimia, jotta laitteisto pysyy haavoittumattomana hakkerointia vastaan tai muulle luvattomalle käytölle varkauden tai väärinkäytön estämiseksi.

Silicon Motion FerriSSD -asemissa yhdistyvät uusimpien teollisuusstandardien mukainen laitteistopohjainen tietoturva ja useat lisäsuojatoimenpiteet. Näihin kuuluvat digitaalisesti allekirjoitettu laiteohjelmisto ja peukalointivasteet, jotka vaihtelevat hälytyksen antamisesta koko levyn sisällön poistamiseen.

Edistynyttä tietoturvaa - suojaa tärkeä data

Datakeskusten palvelimet, yhdistetyt ajoneuvot, lääkinnälliset laitteet, kaupalliset pelijärjestelmät ja teollinen tietojenkäsittely, kuten teollisuuden ohjaimet, valvontajärjestelmät ja vähittäiskaupan teknologia ovat vain muutamia järjestelmiä, joita tarvitaan nykyaikaisen elämän ja työn mahdollistamiseksi. Järjestelmän muistiin tallennetut tiedot voivat paljastaa käyttäjiä, organisaatioita ja asiakkaita koskevia tietoja, jotka väärissä käsissä voisivat olla vahingollisia. Tietoihin käsiksi pyrkivillä voi olla erilaisia motiiveja, kuten taloudellisten tietojen, kuten tili- ja luottokorttinumeroiden, varastaminen, luottamuksellisten yritystietojen tai henkilökohtaisten tietojen, kuten terveystietojen, löytäminen. Tavoitteena voi olla teollisen omaisuuden eli IP-omaisuuden varastaminen sekä laitteiden ja toimintojen sabotoiminen.

Hakkerien poissa pitäminen ja arvokkaiden tietojen suojaaminen on jatkuvasti kasvava haaste. Kyberuhat ovat yhä kehittyneempiä, ja niitä on vaikea ennustaa ja aistia. Nykyään laajalle levinnyt ja aina päällä oleva verkkoyhteys sekä uusien sovellusten, kuten verkkoon kytkettyjen ajoneuvojen, mobiili luonne tekevät kiintolevyn tai SSD-levyn kaltaisissa massamuisteissa säilytettävistä järjestelmä- ja käyttäjätiedoista alttiita hyökkäyksille.

Säänneltyä kyberturvaa

Tietojen luvattoman käytön estämiseksi ja varkauksien tai väärinkäytön estämiseksi tarvitaan erilaisia suojatoimenpiteitä. Sen varmistamiseksi, että nämä toimenpiteet ovat tarkoituksenmukaisia ja että ne pannaan asianmukaisesti täytäntöön, teollisuus ja sääntelyelimet ovat laatimassa kehyksiä, joissa kyberturvallisuus asetetaan uusien tuotteiden kehittämisen ytimeen. Yksi esimerkki on autoteollisuuden standardi ISO/SAE 21434:2021 "Road vehicles - Cybersecurity engineering". Se liittyy läheisesti YK:n Euroopan talouskomission (UNECE) sääntöön UN 155, jossa kehotetaan tuotekehittäjiä ottamaan käyttöön akkreditoitu kyberturvallisuuden hallintajärjestelmä.

ISO/SAE 21434 -standardin soveltamisala kattaa koko tuotteen elinkaaren suunnittelusta sen elinkaaren loppuun, ja siihen sisältyy määräyksiä haavoittuvuuksien analysoinnista ja suojatoimien käyttöönotosta mahdollisimman vahvan kyberturvallisuuden varmistamiseksi. Vaadittuihin toimiin kuuluvat riskien arviointi, kyberturvallisuuden haavoittuvuuksien tunnistaminen ja korjaaminen sekä sovellusten ja ohjelmisto- ja laitteistokomponenttien testaus riskien vähentämiseksi.

Ajoneuvojen sähköisten järjestelmien vaatimustenmukaisuuden odotetaan olevan pakollista vuosina 2024-2026. Silicon Motion tekee yhteistyötä SGS:n kanssa varmistaakseen, että kaikki prosessit ovat ISO 21434 -standardin mukaisia ja että ne tulevat kolmansien osapuolten sertifioimiksi.

IntelligentGuard-salaus: puolustuksen ensimmäinen linja

SSD-levyt ovat yhä useammin massamuisteja. Koska niissä ei ole liikkuvia osia, ne ovat hiljaisia, luotettavia, kestäviä ja kuluttavat vähän virtaa. Lisäksi nopeat tietojen luku- ja kirjoitusajat takaavat nopean vasteen ja korkean järjestelmän suorituskyvyn. SSD-levylle tallennetut käyttäjätiedot salataan yleensä yksityisyyden suojaamiseksi, jos hakkerit pääsevät fyysisesti käsiksi laitteisiin ja joko varastavat SSD-levyn tai yrittävät murtautua siihen. Perinteinen koko levyn salaus suoritetaan käyttöjärjestelmän ohjelmistomoduulilla. Tiedot haetaan levyltä salatussa muodossa ja siirretään SATA-liitännän kautta, ennen kuin ne puretaan tietokoneessa.

Vaihtoehtoisesti itse salattu asema (SED, self-encrypted drive) sisältää oman laitteiston, joka hoitaa salauksen ja salauksen purkamisen. Käyttöjärjestelmän asemanohjain hallinnoi prosesseja, kuten aseman todentamista ennen käynnistystä, avainten hallintaa ja vuorovaikutusta turvallisten komponenttien, kuten TPM-moduulin (Trusted Platform Module) kanssa, jotta saadaan valtuudet aseman salauksen purkamiseen konetta käynnistettäessä. Vuorovaikutus tapahtuu AT-komennoilla tai tyypillisemmin TCG:n (Trusted Computing Group) Opal-standardissa määritellyillä komennoilla. Microsoftin Bitlocker (sekä ohjelmistopohjaisen salauksen hallinta) voi hallita laitteistosalattuja SED-levyjä Opalin avulla lisäprotokollien ja rajapintamääritysten avulla. SED:n hallintaan on olemassa myös asiakaskohtaisia lähestymistapoja.

Ohjelmistopohjaisesta lähestymistavasta poiketen SED salataan tai puretaan välittömästi, eikä järjestelmän CPU:lle aiheudu käsittelykuormaa. Kun tiedot haetaan levyltä, ne puretaan paikallisesti ja siirretään salaamattomina SATA-liitännän kautta tietokoneeseen. Mobiililaitteissa ja kannettavissa laitteissa laitteistopohjaisen lähestymistavan suurempi tehokkuus voi auttaa parantamaan energiankäyttöä ja pidentämään akun käyttöikää.

FerriSSD-kiintolevyasemissa on uusimman TCG-standardin, Opal 2.0:n, mukainen laitteistosalaus. Tämän standardin noudattaminen auttaa varmistamaan, että asemat ovat mahdollisimman turvallisia levyille tallennettujen tietojen luvattomalta käytöltä. Koko levyn salauksessa käytetään AES-256-salausta, joka on alan standardoitu 256-bittinen salausalgoritmi. Sitä käyttävät esimerkiksi valtion virastot, rahoituslaitokset ja armeija käyttävät, koska se kestää erinomaisesti raa'an voiman eli ns. brute force -hyökkäyksiä.

Pelkkä salaus ei kuitenkaan voi tarjota kattavaa suojaa kaikkia mahdollisia hyökkäyksiä vastaan. FerriSSD-levyissä on useita lisäominaisuuksia, jotka estävät SED-asemia vastaan yleisesti tehdyt hyökkäykset.

Laiteohjelmiston suojaus digitaalisella allekirjoituksella

Muita yleisiä hyökkäyksiä ovat yritykset ottaa SSD-levy haltuunsa lataamalla haitallinen laiteohjelmisto. Tätä voidaan käyttää pakottamaan levy purkamaan tallennetun sisällön salaus, jolloin arkaluonteiset tiedot paljastuvat. Hiatallisella laiteohjelmistolla voidaan myös aktivoida lunnasohjelma. Tällaisten hyökkäysten estämiseksi FerriSSD-levyissä on käytössä todennettu laiteohjelmistosuojaus, joka edellyttää, että järjestelmän käynnistyksen yhteydessä esitetään suojattu digitaalinen allekirjoitus. Allekirjoitus on toteutettu elektronisella sulakkeella (eFuse), joka on muuttumaton ja poltettu levyyn valmistushetkellä. Tähän sulakkeeseen ei pääse käsiksi, ja se sisältää yksilöllisiä salasanoja, jotka estävät luvattomia laiteohjelmistoja suorittamasta allekirjoituksen todentamisprosessia, jota tarvitaan FerriSSD-levyn käynnistämiseen. Jos allekirjoitusta ei pystytä tarkistamaan, järjestelmä lähettää isäntäprosessorille turvallisuusvaroituksen.

Suojattu digitaalinen allekirjoitus mahdollistaa myös laiteohjelmistopäivitysten tekemisen etänä FerriSSD-yksiköihin.

IntelligentScan ja DataRefresh: datan säilyttäminen

FerriSSD-levyjen tallennuskapasiteetti on jopa 1 teratavu ja ne on sijoitettu 16 x 20 millimetrin pintaliitettävään BGA-koteloon. Se voidaan asentaa kortille tai emolevylle lähelle isäntäprosessoria varsinaisen laitekotelon sisään, mikä takaa paremman suojan fyysistä manipulointia vastaan kuin perinteinen ulkoinen SSD-levy.

Hakkerit voivat myös yrittää hyökätä kohteisiin huijaamalla (spooging) hätäylläpidosta. Jos FerriSSD havaitsee tällaista toimintaa, se jälleen lähettää hälytyksen isäntäprosessorille.

Lisäksi kaikki FerriSSD-levyt tukevat suojattua Quick Erase -toimintoa, joka voi poistaa kaikki tiedot välittömästi, jos häiriöitä havaitaan. Yksi levyn nastoista mahdollistaa myös tietojen tyhjennysjakson käynnistämisen, joka tallentaa käyttäjän tiedot turvallisesti odottamattoman tapahtuman, kuten äkillisen sähkökatkoksen, aikana.

Johtopäätös

Puolijohdepohjainen tallennuslevy tarjoaa energiatehokkaan, kompaktin ja suorituskykyisen massamuistin, joka on myös vankka ja soveltuu erilaisiin teollisuuden, lääketieteen ja autoteollisuuden laskentaan. Koko levyn salaus pääkäyttöjärjestelmään sisältyvällä ohjelmistolla tai itse levyyn upotetulla laitteistolla on olennaisen tärkeää, jotta tallennetut tiedot pysyvät asianmukaisesti suojattuina.

Silicon Motionin kehittyneet FerriSSD-levyt perustuvat laitteistopohjaiseen salaukseen, joka ei lisää järjestelmän pääsuorittimen kuormitusta. Näin se lisää suorituskykyä, energiatehokkuutta ja akun käyttöikää kannettavissa sovelluksissa. FerriSSD-levyissä käytetään lisätekniikoita, kuten digitaalisen allekirjoituksen avulla toteutettavaa laiteohjelmiston suojausta, peukaloinnin havaitsemista ja datan poispyyhintää hätätilanteissa vakavan fyysisen hyökkäyksen sattuessa, jotta salauksen tarjoamaa suojaa voidaan tehostaa ja lisätä. Näin ne tarjoavat tehokkaimman mahdollisen suojaus nykypäivän verkkouhkia vastaan.

Taulukko. FerriSSD-levyjen ominaisuudet.

Kuva 4. FerriSSD-moduuliratkaisut.