實時安全許可在先進節(jié)點半導體制造中變得越來越普遍，因為數(shù)據(jù)共享既是必需品，也是潛在的安全威脅。

數(shù)據(jù)安全是半導體制造業(yè)中眾所周知的問題，但其中很大一部分基于過時的方法。取而代之的是零信任架構[1]，成為新設備和數(shù)據(jù)分析平臺安裝的必備條件。客戶要求零信任既保護敏感數(shù)據(jù)，又能選擇性地與合作伙伴共享，幾乎所有人都認為零信任對于實時調整流程以提高產出和可靠性至關重要。

零信任方法將IT安全措施從靜態(tài)和基于網絡的邊界轉移到動態(tài)的、按資產或按資源的邊界。零信任原則被用于規(guī)劃工業(yè)和企業(yè)基礎設施及相關工作流程。未經授權的用戶被阻止訪問數(shù)據(jù)，而他人訪問僅限于執(zhí)行特定任務或分析所需的數(shù)據(jù)。

圖1：基于邊界的安全與基于資產的安全。來源：A. Meixner/半導體工程

零信任架構（ZTA）正迅速成為任何半導體數(shù)據(jù)自動化項目的基本需求，因為它允許多方合作伙伴協(xié)作，同時防止數(shù)據(jù)泄露或盜竊。合作伙伴可以完全獨立其數(shù)據(jù)和算法，但仍共同解決良率優(yōu)化、確定測試通過/失敗條件，并通過預測性維護最大化工廠產能。

yieldWerx首席執(zhí)行官Aftkar Aslam表示：“從我們的角度來看，主要驅動力是測試和制造數(shù)據(jù)現(xiàn)在既關鍵任務又高度共享。”“我們的平臺通常位于晶圓廠、OSAT、測試站和終端客戶之間，因此傳統(tǒng)的周邊安全已不再足夠。我們需要假設每一個連接、用戶和系統(tǒng)——無論是在工廠網絡內部還是外部——都必須經過認證、授權并持續(xù)驗證。”

與驗證的連接性推動了采納。Teradyne智能制造產品經理Eli Roth表示：“制造環(huán)境與各個設備之間的數(shù)據(jù)流正日益互聯(lián)。”“我們在不同成熟度上看到它。但連接性帶來了風險。半導體行業(yè)的環(huán)境極度規(guī)避風險。零信任架構通過隱含假設不存在信任，直接解決了風險。每一個設備、每個用戶、每一條數(shù)據(jù)流都必須經過驗證。”

隨著合作者數(shù)量的增加，風險也隨之上升。霍華德·里德表示：“安全行業(yè)非常擔心第三方和第四方分包商帶來的風險，副PDF Solutions的運營與信息安全總裁。“據(jù)業(yè)內消息[3,4]稱，2025年第三方事件將占所有報告數(shù)據(jù)泄露事件的至少30%，而且這一比例每年都在上升。我們收到更多關于如何利用分包商提供專業(yè)工作和專業(yè)知識的問題，同時不僅保證安全編碼，還在為制造中心產品構建編排等專業(yè)服務時保持安全。”

對平衡安全與協(xié)作的認識影響了新設備的供應。過去幾年，Teradyne和Advantest宣布了實時分析解決方案，使客戶能夠保護測試數(shù)據(jù)和專有算法用于分析測試數(shù)據(jù)。歷史上，制造設備的數(shù)據(jù)通常與OEM共享，用于升級和診斷目的。現(xiàn)在，所有先進的CMOS工藝（<10nm）都需要工藝工程師、材料供應商和設備供應商之間的協(xié)作以最大化良率。這推動了零信任云端分析解決方案的發(fā)展。

什么是零信任？
從根本上說，零信任代表了從“一次性”管理網絡安全，轉變?yōu)閷γ總€資產的每一次訪問都進行安全管理。零信任概念的闡述已經發(fā)展了五年多。在半導體工廠環(huán)境中，工程團隊不斷演進安全方法，始終以零信任為核心。

“現(xiàn)在對數(shù)據(jù)安全至關重要的認識確實更多了，”Advantest America云解決方案業(yè)務發(fā)展總監(jiān)Jeffrey Alexander指出。“五年前，人們認識到遠程訪問證券化的重要性（例如身份與訪問管理，IAM），更側重于對工具和工程軟件的身份感知訪問。[5] 然而，隨著 NIST SP 800-207 標準（零信任架構）的發(fā)布，越來越多的廠商開始關注測試期間的數(shù)據(jù)流水線安全。通過我們的云平臺，我們已集成了認證API、基于認證的工具和數(shù)據(jù)收集者的身份，以及基于策略的數(shù)據(jù)路由到數(shù)據(jù)湖/AI平臺。”

零信任聽起來像是自相矛盾。畢竟，如果工廠里沒有任何信任，怎么可能對數(shù)據(jù)或系統(tǒng)訪問共享有信任呢？但定義明確了意圖，正如NIST SP 800-207所定義的：

“零信任提供了一系列概念和理念，旨在最大限度地減少在信息系統(tǒng)和服務中執(zhí)行準確、最低權限的每次請求訪問決策時的不確定性，尤其是在網絡被視為被攻破的情況下。零信任架構是企業(yè)的網絡安全計劃，利用零信任概念，涵蓋組件關系、工作流程規(guī)劃和訪問策略。因此，零信任企業(yè)是作為零信任架構計劃產品，為企業(yè)制定的網絡基礎設施（物理和虛擬）及運營政策。”

ZTA 的目標是防止對“資源”的未經授權訪問，無論是數(shù)據(jù)、計算資源還是物聯(lián)網執(zhí)行器，同時執(zhí)行足夠細致的訪問控制，使用戶能夠執(zhí)行特定任務。訪問決策發(fā)生在從不受信任區(qū)域進入受信任區(qū)域時，并由每個用戶的策略管理。

圖2：通過政策決策點和政策執(zhí)行點實現(xiàn)零信任訪問。資料來源：NIST。SP.800-207 [1，第14頁]

訪問權基于“誰”，每次互動都需要驗證。命令和數(shù)據(jù)都是加密的。

如今，工廠中最可能的攻擊來自內部，要么是惡意用戶，要么是像計算機這樣的設備被攻破。檢查用戶憑證顯著降低風險，在明確情況下限制特定數(shù)據(jù)訪問可以限制安全漏洞影響的區(qū)域，從而保護更大的連接系統(tǒng)。

Athinia首席執(zhí)行官Adam Schafer表示：“多層次審批流程確保數(shù)據(jù)共享遵循公司的數(shù)據(jù)治理框架，并由可配置的治理模式支持，以滿足獨特的業(yè)務需求。”“通過確保只有授權人員能夠訪問敏感數(shù)據(jù)，組織可以降低數(shù)據(jù)泄露的風險。持續(xù)監(jiān)控和動態(tài)訪問控制使?jié)撛谕{響應更快，提升整體運營效率。”

圖3：定制訪問權限以支持安全的數(shù)據(jù)共享系統(tǒng)。來源：雅典娜

轉向ZTA
：在過去五年里，行業(yè)專家指出合作伙伴數(shù)量不斷增加，設備和測試項目數(shù)據(jù)量激增，遠程連接可跨越數(shù)千英里。但并非所有人都以同樣的緊迫感面對ZTA。

yieldWerx的Aslam表示：“根據(jù)我們的經驗，前端晶圓廠是最早、最成熟采納零信任原則的企業(yè)。”“他們通常擁有非常有結構的IT/OT項目，強有力的知識產權治理，以及更多分段網絡經驗，強有力的身份認同，以及基于策略驅動的晶圓數(shù)據(jù)湖訪問，這些湖泊內有數(shù)據(jù)分析系統(tǒng)。后者表現(xiàn)為即使是最強大的設備供應商，尤其是在沉積和蝕刻設備領域，通常也缺乏或幾乎沒有信息獲取。”

剩余的制造工藝，遷移速度較慢。Aslam表示：“中端、先進封裝和后端測試正在趕上，這得益于多芯片和異構集成的興起，這迫使晶圓廠、OSAT、測試實驗室和系統(tǒng)客戶之間更多數(shù)據(jù)共享。”他補充說，汽車和高可靠性客戶正在推動端到端的可追溯性和安全數(shù)據(jù)交換。

晶圓廠對遠程接入的轉變也是ZTA的另一個動力。保護晶圓廠數(shù)據(jù)、網絡和設備的基于邊界的安全方法已不再可行。需要訪問設備和流程數(shù)據(jù)的工程師，可能并不與設備同住在同一校園內。

PDF的Read表示：“越來越多的晶圓廠正在采用遠程、虛擬化或分布式園區(qū)結構，要求授權工具所有者或模塊所有者遠程且安全地連接，以便監(jiān)控生產工具、修改配方或分析診斷數(shù)據(jù)。”“這些'晶圓用戶'不再在同一棟樓網絡，甚至不在同一個校園網絡中。這些晶圓廠希望零信任架構只為其'自有'用戶，以及像OEM（工具供應商）這樣的外部'用戶。”

此外，人們對實時可信測試數(shù)據(jù)的依賴日益增加。這需要ATE廠商和數(shù)據(jù)分析廠商的訪問。

“作為客戶最終產品生產測試數(shù)據(jù)分析提供商，及時訪問ATE在測試現(xiàn)場生成的完整測試數(shù)據(jù)套件對于進行產品良率、質量或通量問題的根本原因分析至關重要，”Synopsys數(shù)字設計組產品市場經理Guy Cortez表示。“然而，零信任環(huán)境的本質需要額外的安全協(xié)議和流程。如果環(huán)境沒有設計成能夠快速認證數(shù)據(jù)及其接收者，這些可能導致提供時效性數(shù)據(jù)分析的延誤加長。”

為了實現(xiàn)實時決策，ATE廠商正在ZTA內提供本地計算源。

“我們的分析平臺使數(shù)據(jù)能夠在測試儀內外同步傳輸，”Teradyne的Roth表示。“它還使測試器的外部用戶能夠實時下達指令并驅動作。如果你要在一次達陣內實時進行內聯(lián)推斷，你可以利用邊緣計算有幾個原因。第一，你需要足夠的計算能力來運行機器學習模型，這需要大量內存和并行計算能力。或者你可能非常擔心敏感的知識產權，比如你的機器學習模型。此外，流入和流出該模型的數(shù)據(jù)可能非常敏感。在我們的系統(tǒng)中，測試程序與該模型之間的數(shù)據(jù)傳遞是完全加密的。客戶自行提供密鑰對。沒有其他人擁有訪問這些數(shù)據(jù)的密鑰對，例如Teradyne和OSATs。”

圖4：ATE 零信任架構，支持邊緣和云計算的數(shù)據(jù)流。來源：特拉丁

此類ATE和分析配置支持多種安全實現(xiàn)。

Advantest的Alexander指出：“我們看到客戶在工廠以及生產其產品的OSAT和代工廠中實施零信任架構解決方案，有多種方式。”“我們有客戶在測試者層面采用數(shù)據(jù)保護（硬件/事件日志、測試程序/極限變更日志、模式調試/故障日志、參數(shù)日志）。我們也有客戶實施了帶有強大密鑰管理的加密技術。加密密鑰的安全生成、存儲、分發(fā)和定期輪換被用來維護其用于預測分析的AI/ML模型的整體安全性。”

建立安全的多方協(xié)作
在優(yōu)化良率、預測設備維護和實現(xiàn)產品質量目標的推動下，口號依然是“跨生態(tài)系統(tǒng)協(xié)作”。潛在合作伙伴包括半導體設計公司、工廠、設備供應商和材料供應商。但每個合作伙伴都希望保護專有數(shù)據(jù)。ZTA 只允許必要的數(shù)據(jù)。

Athinia的Schafer說：“零信任原則解決了目前限制數(shù)據(jù)共享的信任和合規(guī)障礙。”“通過強制執(zhí)行強身份、持續(xù)認證與授權、不可篡改的審計軌跡以及完整的保管鏈可視化，零信任支持監(jiān)管要求和出口控制，同時為所有相關方提供可驗證的保證，明確誰何時何地訪問了什么。這種可驗證的問責制使企業(yè)更愿意以標準化、可重復的方式共享最低限度必要的數(shù)據(jù)，取代了當今臨時危機驅動的共享，開啟了更主動、數(shù)據(jù)驅動的制造業(yè)。”

圖5：多層多方SaaS環(huán)境中的零信任提供了強隔離。來源：雅典娜

這樣的協(xié)作空間使跨業(yè)務工程團隊能夠高效協(xié)作。例如，考慮一個刻蝕工藝工程師與工具供應商和漿料化學品供應商緊密合作，以優(yōu)化蝕刻配方。通過ZTA，他們可以輕松且安全地共享關于分裂條件、試驗結構布局、化學批次性質以及工具狀況和診斷的數(shù)據(jù)。

ZTA環(huán)境中的協(xié)作體現(xiàn)了明確的價值主張——無論是坡道相關問題還是遠足事件，都能更快解決問題。然而，在實際出廠設置中實現(xiàn)ZTA并不簡單。首先，工程團隊需要應對安全文化的轉變，從保護網絡轉向驗證和授權每一個對單個資源的訪問請求。接下來，遷移到ZTA通常意味著工廠自動化和數(shù)據(jù)系統(tǒng)及其與其他系統(tǒng)之間的通信重組。

yieldWerx的Aslam表示：“半導體制造中的零信任只有在團隊運動時才有效。”“在我們的部署中，團隊成員包括客戶IT/信息安全、設備和ATE供應商、設備與信息管理（MES）、PLM、ERP和數(shù)據(jù)湖提供商、系統(tǒng)集成商以及咨詢合作伙伴。我們見過最成功的零信任項目，是所有相關方就共同的參考架構和共享詞匯——身份、策略、分段、日志——達成一致，使我們的平臺能夠在前端、中端和后端運營中干凈利落地連接。然而，對于棕地實施來說，這是一項龐大的工程。它影響多層應用、數(shù)據(jù)、安全等——開發(fā)這些應用的人有時已經離開公司了。”

“即使是新開發(fā)的項目，大多數(shù)初創(chuàng)公司也希望對每個應用和數(shù)據(jù)集采取孤立的方法。Aslam說，要說服CIO和CTO從第一天起就必須考慮主數(shù)據(jù)管理，并配備適當?shù)臄?shù)據(jù)治理工具和數(shù)據(jù)管理者，需要很大的說服力。

由于遺留設備和龐大的數(shù)據(jù)自動化標準和系統(tǒng)，考慮在現(xiàn)有工廠實施ZTA時面臨諸多挑戰(zhàn)。

Advantest的Alexander表示：“半導體晶圓廠和測試現(xiàn)場環(huán)境異構，存在多代的ATE和晶圓制造工具。”“有不同的自動化標準（SEMI、SECS/GEM、EDA），以及多樣化的MES、APC和分析系統(tǒng)。這需要設備廠商在零信任兼容接口等領域進行合作。建立支持互助傳輸層安全（TLS）[6]、證書輪換和最低權限數(shù)據(jù)暴露的通用接口，對于端到端數(shù)據(jù)流水線安全的框架至關重要，因為客戶越來越多地在云端運行AI/ML進行產出和測試分析。”

ZTA的審計可能很繁瑣。PDF的Read表示：“如今，零信任架構尚無'可審計'的國際標準。“最接近的是NIST SP 800-207和CISA的零信任成熟度模型2.0版[7]。因此，實施ZTA和/或驗證供應商解決方案如何幫助實現(xiàn)ZTA，歷來需要耐心、勤勉、豐富的安全知識，以及具備網絡和治理知識，以驗證特定供應商的解決方案是否符合晶圓廠或OSAT風險降低策略和ZTA方法。即使是非常復雜的信息和網絡安全團隊，放棄“邊界安全”也充滿壓力。每個供應商都有自己的方法，且沒有獨立的第三方審計能保證所有ZTA原則的有效運作。”

閱讀建議客戶轉向以下簡化和改進，以有效應對工廠系統(tǒng)和數(shù)據(jù)自動化轉型：

1. 依賴獨立第三方認證機構及國際標準認證，如ISO 27001或AICPA SOC 2 Type 2控制評估。許多ISO 27001的控制措施與ZTA原則直接重疊。

2. 不要為每一條新的遠程連接創(chuàng)建新的解決方案。

3. 支持符合數(shù)據(jù)訪問和數(shù)據(jù)混淆精確要求的多方協(xié)作方法。

4. 從通用安全問卷改為基于應用的特定風險問題，正如SEMI標準化半導體網絡評估問卷所提供的。[8]

5. 考慮通過API或MCP服務器的代理訪問及其帶來的影響。

模塊層面也存在挑戰(zhàn)，例如在工廠車間實施ZTA ATE解決方案以支持開發(fā)者。而ZTA構建的系統(tǒng)則無法在空氣隔離系統(tǒng)上驗證算法。

“到目前為止，零信任帶來的最大挑戰(zhàn)是部署，”Teradyne的Roth說。“我們已經做好了所有安全措施，這讓開發(fā)和部署變得麻煩。我們不得不開發(fā)一些關閉信任的工具，讓工程師能在自己的環(huán)境中開發(fā)模型。我們創(chuàng)建了一個虛擬版本的邊緣計算，其中端口關閉了零信任安全。但沒有零信任安全，物理硬件永遠無法進入生產現(xiàn)場。”

結論
過去十年，半導體行業(yè)認識到合作伙伴間共享數(shù)據(jù)的緊迫需求，但不同參與者不確定如何在不冒知識產權風險的情況下實現(xiàn)。最初將所有數(shù)據(jù)遷移到集中云平臺似乎解決了這一問題，但由于工廠現(xiàn)場需要實時決策，這種做法越來越不切實際。

數(shù)據(jù)只能在知情者基礎上共享。Athinia的Schafer表示：“零信任架構的動機是保護極其寶貴的知識產權，同時仍能實現(xiàn)晶圓廠、無晶圓廠公司、OSAT、EDA供應商和設備供應商之間廣泛的多方協(xié)作。”“由于數(shù)據(jù)跨越許多組織、站點和云，傳統(tǒng)的邊界安全（即防火墻內部是安全的）已不再有效。零信任支持“使用但看不到”的數(shù)據(jù)模型，對足夠數(shù)據(jù)進行最低權限訪問，以及租戶、工具和合作伙伴之間的強隔離，從而減少任何節(jié)點或站點被攻破時的爆炸范圍。這對于安全運行先進分析（如良率診斷、預測性維護和原位測試優(yōu)化）在分布式且常常不受信賴的基礎設施上至關重要。”