Hirdetés

A szervereken túl is magához láncolja némelyik gyártó az AMD CPU-kat

Ezt meg is lehet tenni a Ryzen PRO sorozattal, hiszen a Platform Secure Boot funkció ennél is elérhető.

Még a 2020-as esztendő őszén számoltunk be arról, hogy bizonyos szervergyártók magukhoz láncolják az AMD EPYC CPU-kat. Ez a szerverpiacot tekintve vállalható tényező, hiszen az egész a biztonságot szolgálja. Konkrétan arról van szó, hogy minden EPYC processzor úgymond feloldott formában érkezik, vagyis bármilyen rendszeren belül használható. Ugyanakkor vannak bennük olyan biztosítékok (eFuse), amelyek egyszer programozhatók, vagyis egy adott, Platform Secure Boot funkciót támogató szerver megteheti azt, hogy az első bekapcsolás pillanatában beleégeti a CPU-ba az adott OEM a titkos kulcsából generált nyilvános aláírókulcsát. Amint ezt megteszi, az adott processzor többet nem lesz használható más gyártó szerverében.

Nyilván ez a funkció hasznos is, mert rendkívül megbízható védelmet jelent a platform firmware-t manipuláló malware-ek ellen, legyen szó lokális vagy távoli hozzáférési formában végrehajtott támadásról. A lényeg annyi, hogy egy aláírókulccsal már ellátott processzor nem fog bootolni egy módosított, feltételezhetően kártékony kóddal ellátott firmware mellett, azaz maga a bootolás csak akkor megy végbe, ha a platform firmware biztosan a szerver gyártójától származik.

Ez eddig rendben is van, a Platform Secure Boot funkció az érintett szegmensen belül egy valós vásárlói igény, de a ServeTheHome a fentebb látható YouTube videóban arról számolt be, hogy a Lenovo már Ryzen PRO sorozatra épülő konfigurációinál is alkalmazza ezt a módszert. Sőt, ugyanez igaz volt a Ryzen Threadripper PRO termékcsaládra is a szóban forgó cég esetében, csak az azért nem kapott annyira nagy nyilvánosságot, mert a Lenovo pár hónapnyi exkluzivitást vásárolt az AMD-től.

Na most a Platform Secure Boot funkció ténylegesen előnyös a biztonságot tekintve, de figyelembe kell venni, hogy egy szervernél és egy munkaállomásnál jóval több értelme van, mint egy általánosabb, mondhatni irodai igényekhez tervezett konfigurációnál. És ezt nem úgy kell érteni, hogy nem lehet olyan cég, amely nem szeretné ezt a biztonsági szolgáltatást, hanem valószínű, hogy többen vannak azok a megrendelők, akiknek ez inkább teher lesz a szóban forgó PC későbbi értékesítésénél, hiszen a CPU egyszerűen nem adható csak úgy el, mivel kizárólag Lenovo gépben fog működni az első indításnál beleírt kulcs miatt.

Előzmények

Hirdetés