佐治亚州诺克罗斯——AMI®,一家通过其 BIOS、BMC 和安全解决方案为全球互联数字基础设施提供动力、管理和保护的全球领导者,很高兴地宣布其 Aptio® V UEFI 固件支持密钥管理服务 (KMS) 协议。
使用 UEFI KMS 协议的 UEFI 系统固件可以管理多个密钥管理器,从而创建、存储、检索和删除不同格式和大小的密钥。在固件内部,UEFI 设备驱动程序无需了解各个密钥管理器的具体细节即可使用 UEFI KMS 协议,从而增强平台安全性。
数据隐私和保护政策法规对数据泄露事件的责任追究和纠正措施有严格的要求。为了遵守这些政策法规,大多数全球性组织都会对其服务器和移动设备进行密码保护,并对存储设备进行加密。后者有助于确保即使设备丢失或被盗,其内容也能安全无虞。然而,将加密密钥存储在系统上则存在潜在的安全隐患,因为一旦系统被盗或遭到黑客攻击,密钥将无法提供任何保护。
“加密存储设备的一个缺点是,如果系统无法运行,简单地将存储设备更换到另一个系统中启动系统是不可能的。事实上,这正是设计上所要避免的:为了保护数据安全,系统中的存储设备经过精确加密,使其无法被简单地放入另一个系统中读取,”全球BIOS工程副总裁Puran Nallagatla评论道。
“然而,从技术支持的角度来看,无法将存储设备从故障系统转移到正常运行的系统是一个很大的痛点。要做到这一点,存储设备必须先解密才能进行转移,但在发生灾难性硬件故障的情况下,这并非总是可行,”他继续说道。
因此,公司经常与泰雷兹等远程密钥管理系统提供商合作,以提供所需密钥的远程存储和检索。
“随着越来越多的组织使用加密技术来保护数据并满足合规性要求,安全地管理大量密钥的生命周期可能极具挑战性,因为数据通常跨多个不同的IT环境进行加密。使用专用的集中式密钥管理平台可以缓解这些问题,在确保安全性的同时不会影响性能。泰雷兹很高兴与AMI合作,共同交付支持AMI BIOS密钥管理服务协议的此类平台,”泰雷兹加密解决方案副总裁Todd Moore表示。
UEFI KMS 协议对于企业和数据中心应用中通常需要无人值守运行的系统也大有裨益。如果计划重启,系统可以连接到 KMS,无需任何用户干预或自定义变通方案即可解密存储设备。尽管目前已有许多变通方案和自定义实现可以满足这一特定需求,但正如 AMI 今天宣布的那样,业界已表现出对将 UEFI KMS 协议直接集成到 UEFI 固件中的兴趣。
“追求更高安全性的客户会选择我们配备 SafeStore™ 软件的 MegaRAID® 控制器,该软件可以帮助他们创建和本地管理密钥。现在,AMI 在其 Aptio V UEFI BIOS 固件中实现了 UEFI KMS 协议,从而开辟了一条外部密钥管理途径。SafeStore 软件用户可以无缝地将密钥存储在外部并进行管理。这使他们能够在完全加密的情况下执行诸如硬盘迁移和控制器更换等操作,而无需人工干预。”博通数据中心存储事业部副总裁兼总经理 Jas Tremblay 表示。
为了更深入地了解 UEFI KMS 协议的实现,AMI 将在下一届 UEFI Plugfest 活动中举办一场名为“ UEFI 密钥管理服务的实现与使用”的研讨会。AMI 的此次演讲将探讨 UEFI KMS 协议实现的各种方案和挑战,以及 UEFI 设备驱动程序与外部密钥管理服务器之间使用 UEFI KMS 协议的高级交互。
有关 UEFI、UEFI 规范和 UEFI Plugfest 的更多信息,请访问 https://uefi.org/。
要了解有关 AMI 的 Aptio V UEFI 固件的更多信息,请访问ami.com/products/aptio-v/。
UEFI® 是 UEFI 论坛在美国和/或其他国家的注册商标。
“Broadcom”指博通公司和/或其子公司。MegaRAID® 和 SafeStore™ 是博通公司和/或其子公司在美国和/或其他国家的商标或注册商标。
