基于云的芯片設(shè)計和驗證的強大安全性

作者：Synopsys 副總裁兼首席信息安全官 Wagner Nascimento 和 IT 集團(tuán)總監(jiān) Venkata Ravella

幾年前，雖然許多行業(yè)開始將其功能和流程遷移到云端，但電子設(shè)計界采取了更加謹(jǐn)慎的方法。考慮到寶貴的知識產(chǎn)權(quán)處于危險之中，這不足為奇。然而，芯片行業(yè)很快就意識到基于云的設(shè)計流程的好處，尤其是在強大的安全性的支持下，太有吸引力了，不容忽視。

長期以來，半導(dǎo)體設(shè)計一直受到嚴(yán)格的質(zhì)量要求和積極的上市時間目標(biāo)的推動，不斷增長的成本侵犯了利潤。更重要的是，人工智能（AI）和高性能計算（HPC）等計算密集型領(lǐng)域的新興應(yīng)用繼續(xù)給芯片設(shè)計帶來巨大壓力。并且繼續(xù)推動減少芯片設(shè)計和驗證的周期時間。

云優(yōu)化的電子設(shè)計自動化 (EDA) 解決方案緩解了這些挑戰(zhàn)，同時為持續(xù)創(chuàng)新提供了途徑，即使摩爾定律放緩。主要優(yōu)勢？

• 與在本地數(shù)據(jù)中心運行 EDA 解決方案相比，云開放更多計算資源以加速設(shè)計和驗證過程，因此更快獲得結(jié)果。此外，工程師還可以根據(jù)項目需求快速擴(kuò)展或縮減資源，從而使他們受益匪淺。
• 提高結(jié)果的質(zhì)量，因為幾乎無限的云計算資源意味著工程師可以進(jìn)行大規(guī)模的模擬、時序簽核和物理驗證任務(wù)，這些任務(wù)會嚴(yán)重地消耗本地計算資源。
• 更好的結(jié)果成本，因為云可以在需要時提供對最新計算和存儲資源的訪問，并采用靈活的即用即付定價模式。

盡管這些優(yōu)勢很有吸引力，但如果沒有最高級別的安全性，基于云的芯片設(shè)計和驗證就無法蓬勃發(fā)展。在這篇博文中，我們將仔細(xì)研究 EDA 供應(yīng)商如何通過現(xiàn)代云安全和云原生流程和技術(shù)建立對其云優(yōu)化解決方案的信任。

云安全的左移

最重要的是，芯片設(shè)計人員希望確保他們的設(shè)計和 IP 在他們工作的環(huán)境中是安全的。當(dāng)我們將芯片設(shè)計和驗證流程轉(zhuǎn)移到云環(huán)境中時，我們必須將安全性嵌入到軟件開發(fā)生命周期、基礎(chǔ)設(shè)施和平臺的各個方面。

通常，云提供商在共同責(zé)任模式下運營。云的安全，例如數(shù)據(jù)中心，是提供商的責(zé)任；因此，在他們的基礎(chǔ)設(shè)施和應(yīng)用程序中從頭開始構(gòu)建安全性符合他們的最大利益。

云服務(wù)提供商負(fù)責(zé)底層云基礎(chǔ)設(shè)施的安全，例如環(huán)境的物理安全、計算管理程序的安全、多租戶軟件定義網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)安全以及所提供應(yīng)用程序的安全/用于管理某些操作的服務(wù)。云客戶負(fù)責(zé)保護(hù)工作負(fù)載，例如基礎(chǔ)架構(gòu)設(shè)置、環(huán)境中的網(wǎng)絡(luò)安全、入口/出口控制和應(yīng)用程序安全。

如果您正在考慮最佳實踐，其中大部分歸結(jié)為左移：將安全性置于項目的初始階段并將安全性集成到環(huán)境的各個方面。例如，在構(gòu)建云基礎(chǔ)架構(gòu)時，架構(gòu)師應(yīng)該回答幾個關(guān)鍵問題：

• 我們將如何細(xì)分環(huán)境？
• 我們將如何監(jiān)控和管理訪問？
• 我們將如何確保遵守已制定的要求？
• 我們將如何保護(hù)緩存、存儲和傳輸中的數(shù)據(jù)？

在應(yīng)用程序級別，必須在整個軟件開發(fā)生命周期中掃描代碼以查找安全漏洞。應(yīng)通過多因素身份驗證等技術(shù)控制和保護(hù)對應(yīng)用程序的訪問。建立不同級別的數(shù)據(jù)分類以及相關(guān)的訪問權(quán)限可能是合適的。云工作負(fù)載保護(hù)應(yīng)應(yīng)用于虛擬機和容器，并監(jiān)控關(guān)鍵漏洞。

云安全設(shè)計

Synopsys 以我們對安全的承諾為后盾，在云中提供我們廣泛的設(shè)計和驗證解決方案組合。硅設(shè)計解決方案在主要公共云平臺上經(jīng)過生產(chǎn)驗證，并得到主要半導(dǎo)體代工廠的認(rèn)可，可與他們的庫和工藝設(shè)計套件一起使用。驗證解決方案可以加速軟件啟動和系統(tǒng)驗證。

我們的云安全支柱為我們的云優(yōu)化 EDA 和 IP 解決方案以及將自己的軟件或應(yīng)用程序遷移到云的客戶提供端到端的方法。這些支柱涉及以下關(guān)鍵領(lǐng)域：

• 通過多因素身份驗證實施和基于角色的訪問控制和權(quán)限進(jìn)行身份和訪問管理
• 數(shù)據(jù)，其中涉及對傳輸中和靜態(tài)中的所有敏感信息進(jìn)行加密，以及機密和證書的使用
• 基礎(chǔ)設(shè)施，包括監(jiān)控云環(huán)境中的安全威脅和錯誤配置；在公有云和整個軟件生命周期中保護(hù)虛擬機和容器；提供對虛擬機和容器的漏洞掃描；通過限制網(wǎng)絡(luò)流量和其他訪問控制來減少攻擊面
• 應(yīng)用程序，包括安全持續(xù)集成 (CI)/持續(xù)交付 (CD) DevSecOps，用于在云服務(wù)交付管道中開發(fā)和實施安全控制，使用靜態(tài)應(yīng)用程序安全測試 (SAST) 和動態(tài)應(yīng)用程序安全測試 (DAST) 對漏洞進(jìn)行應(yīng)用程序代碼掃描)、開源漏洞掃描和滲透測試
• 威脅和漏洞管理，包括對資產(chǎn)的掃描以及對漏洞管理和修補程序的洞察。
• 事件響應(yīng)，提供安全的日志記錄和監(jiān)控、威脅情報服務(wù)、記錄和測試的運行手冊，以及用于升級、日志記錄和監(jiān)控的資源，包括云活動日志記錄、登錄和審計日志記錄，以及與日志源的關(guān)聯(lián)以改進(jìn)情境意識
• 合規(guī)和治理，包括對行業(yè)認(rèn)證和驗證的保證，以及對控制有效性的證明

Synopsys 作為安全差異化因素

我們的創(chuàng)新工具提供針對漏洞的高級保護(hù)。我們具有獨特的優(yōu)勢，可以從一開始就為這些產(chǎn)品提供安全性，因為我們使用整套 Synopsys 安全工具和服務(wù)。

鑒于Synopsys 對安全解決方案的投資，包括我們的 Black Duck? 和 Coverity? 技術(shù)等產(chǎn)品，我們擁有了解數(shù)據(jù)泄露發(fā)生位置、評估源代碼和應(yīng)用程??序弱點和漏洞以及緩解安全問題的內(nèi)部專業(yè)知識。我們還與云提供商密切合作，以確保我們共同的客戶對在我們基于云的工具上運行他們的設(shè)計充滿信心。

半導(dǎo)體創(chuàng)新的新途徑

在云采用方面，金融行業(yè)與電子設(shè)計行業(yè)有一些相似之處。鑒于財務(wù)數(shù)據(jù)的敏感性，難怪該行業(yè)遷移到云的速度也很慢。但一旦大銀行開始這樣做，業(yè)內(nèi)其他人也紛紛效仿。隨著越來越多的設(shè)計人員體驗到在云中設(shè)計和驗證芯片的好處，半導(dǎo)體設(shè)計行業(yè)看起來也將遵循類似的軌跡。

基于云的芯片設(shè)計和驗證帶來了計算資源的靈活性，以獲得更好的結(jié)果和更快的周轉(zhuǎn)時間。隨著芯片的復(fù)雜性和尺寸不斷增加，特別是對于 AI 和 HPC 等要求苛刻的應(yīng)用程序，云為提高生產(chǎn)力和創(chuàng)新提供了一個受歡迎且安全的途徑。