NVIDIA, kuruluşların güvenli, ölçeklenebilir ve yüksek performanslı ağ altyapısı oluşturmalarına ve sürdürmelerine yardımcı olan bir teknoloji sunmaktadır. Yapay zeka alanındaki ilerlemelerle birlikte, NVIDIA güvenlik alanında günde her geçen gün gelişmelere katkıda bulunmaktadır. NVIDIA’nın ağ güvenliğine daha doğrudan bir yaklaşımından biri, güvenli bir ağ işletim sistemi (NOS) geliştirmesidir.
Güvenli bir ağ işletim sistemi, ağ altyapısını çeşitli tehditlere karşı korumaya odaklanan özel bir NOS türüdür. Diferansiyel sistemler, çeşitli güvenlik özellikleri sunar. Bunlar arasında yerleşik güvenlik duvarları, VPN’ler veya izleme araçları bulunabilir. Bazı sistemler, gelişmiş tehdit tespiti ve yanıt özellikleri sunar, bazıları ise işletim sistemi yüklenmeden önceki saldırılara karşı koruma sağlamak için güvenli önyükleme (Secure Boot) gibi güvenlik mekanizmaları içerir.
Güvenli Önyükleme Nedir?
NVIDIA, Güvenli Önyükleme standardını giderek daha fazla platformda desteklemektedir. Güvenli Önyükleme, firmware veya yazılımın önyükleme sürecinde ve firmware güncellemelerinde yetkisiz bir şekilde çalışmasını engellemeyi amaçlayan bir UEFI (Unified Extensible Firmware Interface) güvenlik özelliğidir.
İmzalanmamış veya yanlış imzalanmış kodların önyükleme seviyesinde yürütülmesi engellenir; bu da rootkit, bootkit, firmware saldırıları ve diğer kötü niyetli aktivitelerin OS veya güvenlik mekanizmaları başlatılmadan önce yüklenmesini önler. Bu tür bir erişim elde eden bir saldırgan, sistemin çekirdek kontrolünü eline geçirebilir. Bu durum, bir saldırganın neredeyse her şeyi yapmasına olanak tanır.
Ayrıca, Güvenli Önyükleme, cihazlara fiziksel erişim sağlama girişiminde bulunan saldırganlar için önemli bir güvenlik engeli oluşturur. Saldırgan cihazın fiziksel olarak erişim sağlasa bile, boot bileşenlerini doğru anahtarlar olmadan değiştiremez; bu da CPU, hard disk gibi parçaların değiştirilmesine karşı koruma sağlar.
Güvenli Önyükleme ile Güvenli Bir Süreç
Güvenli Önyükleme, donanım seviyesinden başlayarak firmware ve bootloader’a kadar uzanan bir güven zinciri oluşturur. Önyükleme sürecindeki her bileşen, bir sonraki bileşeni doğrular ve çalıştırılmadan önce imzalanmalı ve kontrol edilmelidir. İmzalar geçerli ve bilinen güvenilir anahtarlarla eşleştiğinde sistem, önyükleme sürecine devam eder. Aksi halde, tüm imzasız kodlar firmware tarafından reddedilir ve sistem ya durur ya da bir uyarı verir. Bu durum, saldırganın kendi işletim sistemini kurma girişimini de engeller.
SONiC Ağ İşletim Sisteminde Güvenli Önyükleme
Güvenli Önyükleme, SONiC (Software for Open Networking in the Cloud) adlı, Linux tabanlı, açık kaynaklı ve donanım açısından bağımsız bir ağ işletim sistemi içinde desteklenmektedir. NVIDIA, SONiC projesinin en büyük katkıcısıdır ve bu projeye birçok şekilde destek sağlamaktadır.
SONiC’in güvenli önyükleme işlevinin diğer sistemlere göre büyük bir avantajı, özerklik sağlamasıdır. Açık kaynak olması sayesinde, SONiC, geleneksel veya kapalı sistemlerin çoğunda olduğunun aksine, özelleştirilebilir önyükleme süreçleri sunar. SONiC’i çalıştırmak, herhangi bir tedarikçiyle bağlı kalmanızı gerektirmez; imajınızı kendi özel anahtarlarınızla imzalayarak yalnızca yetki verdiğiniz firmware’in yüklenmesini sağlarsınız. Bu, ayrıca tedarikçi kilitlenmesine karşı ek bir koruma katmanı ekler.
Şekil 1, SONiC’te Güvenli Önyükleme için yüksek seviyede mimari akış tasarımını göstermektedir. Üretim imzalama süreci, geliştirme sürecinden biraz farklı çalışır; bileşenler kendi içinde değil, harici bir imzalama sunucusunda imzalanır. Harici bir imzalama sunucusu, ek güvenlik, büyük ortamlarda ölçeklenebilirlik ve kontrollü güncellemeler ve yönetim için izole bir ortam sağlar. Çalışma zamanında, boot bileşenleri süreç boyunca doğrulanmaktadır.
Cihazlarınızı Güvenli Hale Getirmeye Başlayın
NVIDIA, sağladığı artırılmış güvenlik nedeniyle UEFI güvenli önyüklemenin kullanılmasını şiddetle önermektedir. Güvenli Önyükleme’yi nasıl uygulayabileceğiniz hakkında daha fazla bilgi almak için NVIDIA satış temsilciniz ile iletişime geçin veya NVIDIA Ağ Destek ile iletişime geçebilirsiniz.
Daha fazla bilgi edinmek için aşağıdaki kaynakları inceleyebilirsiniz:
- NVIDIA Saf SONiC Sanal Atölyesi
- NVIDIA SONiC Atölyesi Laboratuvar Kılavuzu
- Kendi SONiC İmajınızı Oluşturma
- NVIDIA Air ile SONiC’i Deneyin
- SONiC Kılavuzu ile Güvenli Önyükleme
- SONiC Yapı Yapılandırma Seçenekleri
- NVIDIA BlueField DPU’larda Güvenli Önyükleme