Un Root of Trust est un élément clé de la sécurité des serveurs PowerEdge. Enraciné dans les couches basses du système, son travail de l’ombre n’est pas toujours bien connu. Il est temps de lui offrir un peu de lumière.
C’est la base de la confiance. Elle est gravée dans le cœur de chaque serveur PowerEdge. Et c’est un composant clé de notre architecture résiliente. Savez-vous ce qu’est le « Root of Trust » et comment il fonctionne ?
Qu’est-ce que le Root of Trust ?
Le Root of Trust est un concept qui vise à établir une chaîne de confiance au sein d’un ordinateur, garantissant que celui-ci exécute un code légitime au démarrage. Si la première ligne du code est validée, celles qui en découlent seront considérées à leur tour comme légitimes. Pour mieux comprendre le processus, prenons un exemple dans le monde réel.
Lorsque vous prenez l’avion, le premier niveau de sécurité est le portique de contrôle, où l’ensemble de vos affaires sera vérifié. Considérez-le comme le Root of Trust. Une fois que vous l’avez passé, l’agent à la porte d’embarquement vous réclame votre carte d’embarquement et une pièce d’identité. Il a confiance dans le fait que vous ne transportiez rien de dangereux puisque vous avez déjà été contrôlé auparavant. Une fois que vous êtes dans l’avion, le pilote et le personnel naviguant savent que l’agent précédent a vérifié que vous étiez en possession d’un billet et que vous avez passé le portique de contrôle. Votre présence à bord est considérée comme « sûre ».
Le processus d’embarquement d’un aéroport est très similaire à la chaîne de confiance qui se déroule lorsqu’un ordinateur ou un serveur démarre. Avant que le premier octet du BIOS ne soit exécuté, le code est inspecté par un microcontrôleur dédié, l’équivalent numérique du portique de l’aéroport, pour garantir sa légitimité. L’opération consiste à vérifier que vous êtes bien celui que vous prétendez être et que vos identifiants n’ont pas été falsifiés. Une fois le BIOS validé, son code peut être lancé. Ensuite, lorsque vient le tour du code du système d’exploitation, l’OS fait confiance aux commandes du BIOS.
Comment faire confiance à la chaîne de confiance ?
Si un attaquant parvenait à substituer le BIOS du serveur par une version corrompue, il obtiendrait un large contrôle sur presque tout le serveur. Ce scénario constituerait évidemment une menace majeure pour une entreprise. Et une menace de ce type serait difficile à détecter puisque le système d’exploitation partirait du principe que le BIOS a déjà été vérifié et validé en amont. Il est donc primordial que le BIOS soit minutieusement inspecté avant d’être exécuté. Comment cela fonctionne-t-il ?
Retournons à l’aéroport. Un pirate pourrait tenter d’usurper l’identité d’une personne en utilisant son passeport ou même d’utiliser un faux passeport. Des scanners sont déployés pour prévenir ce genre de tentative. Sans compter que les agents de sécurité sont formés pour repérer les falsifications, contrefaçons ou tout autre utilisation abusive d’un document d’identité.
Sur un serveur, le microcontrôleur vérifie que le BIOS est légitime en inspectant, non pas son passeport, mais une clé de chiffrement. Cette signature unique est gravée dans le silicium au moment du processus de fabrication de la puce. C’est la seule manière de rendre le Root of Trust totalement immuable. Les clés sont gravées au niveau matériel, en usine, et ne peuvent ainsi être modifiées ou effacées. Quand le serveur démarre, la puce vérifie que le code du BIOS est bien celui de Dell en se référant à la clé gravée dans le silicium.
Que se passe-t-il si…
Nos serveurs sont conçus de telle sorte que les bios et firmwares non autorisés ne sont pas exécutés. Si le code est remplacé par un malware, le serveur ne le lancera pas. Un échec dans la vérification du BIOS entraîne une extinction du serveur et une notification dans les logs. Un processus de restauration du BIOS peut ensuite être initié par l’utilisateur. Dans le cas où la validation est un succès, les autres modules du BIOS sont tour à tour validés grâce à la chaîne de confiance, jusqu’à ce que le contrôle soit transmis à l’OS ou à l’hyperviseur. La confiance règne !