0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

SONiC网络操作系统中的安全启动

NVIDIA英伟达企业解决方案 来源:NVIDIA英伟达企业解决方案 2024-11-13 11:45 次阅读

NVIDIA 的技术可帮助组织构建和维护安全、可扩展和高性能的网络基础设施。NVIDIA 在引领 AI 技术的前沿,每天都在推动安全方面的进步,对保障网络安全采取的更直接的方法之一就是采用安全的网络操作系统(NOS)。

安全网络操作系统(NOS)是一种专门的网络操作系统,专注于强大的安全功能,以保护网络基础设施免受各种威胁。

不同的系统提供多样的安全功能。有些系统提供内置防火墙、VPN 或监控工具,有些系统提供高级威胁检测和响应功能,有些系统在启动级别提供强化的安全性,甚至在操作系统加载之前就能防止攻击,其中一项功能称为安全启动(Secure Boot)。

安全启动

越来越多的 NVIDIA 平台支持安全标准安全启动。安全启动是一项安全 UEFI(统一可扩展固件接口)功能,旨在防止在启动过程和固件更新期间运行未经授权的固件或软件。

NVIDIA Spectrum-4交换机和NVIDIA BlueField-2DPU及更高版本现已完全支持 UEFI 安全启动。

系统会阻止未签名或签名不当的代码在启动级别执行,从而防止在操作系统或安全机制初始化之前加载 rootkits、bootkits、固件攻击和其他恶意活动。而在初始化之前,攻击者可能会获得对核心系统的完全控制权,获得这种级别的访问权限几乎可以让攻击者执行任何操作。

安全启动还显著提高了攻击者试图利用物理访问设备的门槛。即使攻击者可以物理访问设备,但如果没有正确的密钥,他们也无法更改启动组件,从而防止发生实际修改,例如更换 CPU 或硬盘。

安全启动的工作原理是建立“信任链”,从硬件级别开始,并扩展到固件和启动加载程序。启动过程中的每个组件都会验证下一个,并且必须在执行之前进行签名和检查。如果签名有效并且与已知的可信密钥相匹配,系统将继续启动过程。否则,固件将拒绝所有未签名的代码,系统将停止或发出警告。这包括攻击者试图直接安装自己的操作系统。

SONiC 网络操作系统中的安全启动

SONiC(Software for Open Networking in the Cloud)支持安全启动,这是一种基于 Linux 的开源、与硬件无关的网络操作系统。NVIDIA 是 SONiC 项目的第二大贡献者,并以多种方式支持 SONiC。详细了解 NVIDIA 和 SONiC 。

与其他系统相比,SONiC 安全启动功能的最大优势在于自主性。作为开源软件,SONiC 支持可定制的启动流程,而许多传统或专有系统则限制了用户的修改权限。

运行 SONiC 并不依赖于任何供应商作为签名实体。您可以使用自己的私钥自由签名您的镜像,因此您知道只能安装您明确授权的固件。这还会针对供应商锁定增加一个额外的层。您可以设计您的发行版,使其仅在某些供应商或设备上运行,并为攻击者设置更多的知识门槛来跨越,因为许多设备通常需要专有或特殊知识才能访问和使用。

图 1 显示了 SONiC 中安全启动的高级架构流程设计。产生签名流程的工作原理与开发略有不同,后者是在外部签名服务器中签名组件,而不是在自己的服务器中签名。外部签名服务器提供了一个隔离的环境,可在大型环境中实现额外的安全性、可扩展性以及受控更新和管理。在运行时,在整个流程中对启动组件进行验证。

3f7b0110-a02f-11ef-93f3-92fbcf53809c.jpg

图 1.SONiC 构建签名流程

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • NVIDIA
    +关注

    关注

    14

    文章

    4985

    浏览量

    103036
  • 操作系统
    +关注

    关注

    37

    文章

    6820

    浏览量

    123327
  • 网络
    +关注

    关注

    14

    文章

    7565

    浏览量

    88767

原文标题:在 SONiC 中通过安全启动保护您的网络

文章出处:【微信号:NVIDIA-Enterprise,微信公众号:NVIDIA英伟达企业解决方案】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    启动、登录和初次使用CentOS系统(1)#网络操作系统

    网络操作系统
    未来加油dz
    发布于 :2023年07月18日 11:32:53

    启动、登录和初次使用CentOS系统(2)#网络操作系统

    网络操作系统
    未来加油dz
    发布于 :2023年07月18日 11:33:20

    关于安全操作系统

     XKI西科是为解决涉密单位移动办公的需求而研发的一款安全操作系统,以移动存储设备为载体,集成常用办公软件,可实现自启动前的身份认证、屏蔽本地磁盘和网络功能,数据存储区使用时需要进行身
    发表于 05-23 15:28

    嵌入式操作系统怎么实现网络加载?

    在复杂的应用系统通常都需要嵌入式操作系统的支持,这样嵌入式操作系统镜像文件的尺寸往往就会变得比较大。可以选择通过网络将嵌入式
    发表于 03-18 08:20

    Firefly通过网络远程挂载操作系统设计实现

    系统启动。在这个过程无需对本地的核心板硬件进行烧写操作,用户的数据空间也不再受到核心板自身的ROM的大小而限制,同时也能随时无缝的切换想要的
    发表于 04-07 16:08

    linux操作系统安全

    linux操作系统安全性 计算机系统安全性的内涵 操作系统安全性功能 操作系统
    发表于 04-28 15:05 0次下载

    计算机网络网络操作系统

    理解网络操作系统的功能与作用,了解常用网络操作系统如WINDOWS操作系统、LINUX 操作系统
    发表于 08-05 17:50 3次下载

    操作系统网络计算机的启动研究

    介绍了一种基于集成的方法将多个单操作系统NC 的启动程序代码整合成一个多操作系统NC 启动环境的方法。文中着重介绍了单操作系统NC 的
    发表于 09-02 11:21 13次下载

    网络操作系统

    网络操作系统           
    发表于 12-17 11:50 730次阅读

    什么是网络操作系统(NOS)

    什么是网络操作系统(NOS) 网络操作系统(NOS)是网络的心脏和灵魂,是向网络计算机提供服务
    发表于 04-03 15:07 2932次阅读

    PXE网络部署操作系统

    PXE (preboot execute environment)是由Intel公司开发的最新技术,工作于Client/Server的网络模式,支持工作站通过网络从远端服务器下载映像,并由此支持来自网络
    发表于 06-02 18:09 20次下载
    PXE<b class='flag-5'>网络</b>部署<b class='flag-5'>操作系统</b>

    是德科技举办首次开源网络操作系统社区Plugfest测试活动

    Plugfest测试活动。Plugfest 将赋能云端开放网络软件(SONiC)社区成员不受厂商限制,更全面地实施SONiC验证。是德科技提供先进的设计和验证解决方案,旨在加速创新,创造一个
    的头像 发表于 05-31 14:28 1541次阅读

    是德科技携手合作伙伴举办中国区SONiC PlugFest测试活动

    是德科技公司(NYSE:KEYS)和 Aviz Networks 联合宣布,于2022年1月至2022年3月期间举办中国区 SONiC 开源网络操作系统社区 PlugFest 测试活动。Aviz
    的头像 发表于 02-15 17:10 1267次阅读

    SONiC正在成为云架构领先的开放网络操作系统

    SONIC是一个基于 Linux 的开源网络操作系统,能够在多个厂商的交换机和专用集成电路(ASIC)上运行。SONiC 支持用户灵活地创建网络
    的头像 发表于 03-20 13:16 3261次阅读

    你知道操作系统是如何启动起来的吗

    操作系统被称为“第一个程序”,the first programme,原因很简单,只有当操作系统启动起来后才能运行我们编写的程序,那么你有没有想过这个问题:操作系统是怎样启动起来的呢?
    的头像 发表于 03-31 15:45 808次阅读
    你知道<b class='flag-5'>操作系统</b>是如何<b class='flag-5'>启动</b>起来的吗