اسمح لي أن أذكركم بما
هي امتدادات برنامج Intel Software Guard Extensions . كما يوحي الاسم ، النقطة هنا هي الأمن. ابتكرت البشرية العديد من أساليب البرمجيات لحماية بنيتها التحتية لتكنولوجيا المعلومات من الكود الضار أو غير المصرح به ، ومع ذلك ، فإن كل هذه الأساليب لها قيودها الأساسية. للالتفاف حولها ، من الضروري أن تبدأ الحماية في قلب الكمبيوتر - المعالج الخاص به ويعتمد على وظائفه.
باستخدام هذا المبدأ ، طورت Intel امتدادات Intel SGX - مجموعة من إرشادات وحدة المعالجة المركزية التي تمكن التطبيقات من إنشاء جيوب ومناطق محمية في مساحة عنوان التطبيق ، والتي تضمن السرية والنزاهة حتى في وجود برامج ضارة مميزة.
هذا المنشور عبارة عن جهاز Intel SGX الجديد القائم على الأجهزة لأي نظام خادم -
بطاقة Intel SGX .
فيما يلي مبادئ تشغيل جيوب Intel SGX:
- الوصول إلى ذاكرة الجيب للقراءة والكتابة من خارج الجيب غير موجود ، بغض النظر عن المستوى الحالي للحقوق ووضع تشغيل وحدة المعالجة المركزية.
- لا تتوفر حاويات مستوى العمل للتصحيح باستخدام مصحح أخطاء البرامج أو الأجهزة. (يمكنك إنشاء جيب بسمات تصحيح الأخطاء ، حيث يمكن لمصحح Intel SGX عرض محتويات الجيب بنفس طريقة مصحح الأخطاء القياسي. ويتم ذلك لزيادة راحة عملية تطوير البرامج.)
- من المستحيل إدخال بيئة محصورة باستخدام استدعاءات الوظائف الكلاسيكية أو عمليات الانتقال أو التلاعب في التسجيل أو باستخدام المكدس. الطريقة الوحيدة لاستدعاء وظيفة الجيب هي بتعليمات جديدة تقوم بالعديد من عمليات الفحص الأمني.
- محمية Enclave الذاكرة باستخدام خوارزميات التشفير القياسية مع حماية التشغيل. إذا قرأت الذاكرة أو قمت بتوصيل وحدات الذاكرة بنظام آخر ، يمكنك فقط الحصول على البيانات المشفرة.
- يتم تغيير مفتاح تشفير الذاكرة بشكل عشوائي مع كل تغيير في دورة الطاقة (على سبيل المثال ، عند التحميل ، عند استئناف العمل بعد النوم والإسبات). يتم تخزين المفتاح داخل وحدة المعالجة المركزية ولا يمكن الوصول إليه من الخارج.
- البيانات مرفقة في جيوب وهي متاحة فقط لرمز ذلك الجيب.
يقلل Intel SGX بشكل كبير من ثغرة البرامج المحيطةتم تقديم حل Intel Software Guard Extensions في عام 2016 ، ومنذ ذلك الحين تلقى عدد من معالجات خادم Intel Xeon دعمها ، وبعد ذلك ، قام عدد من أكبر مزودي الخدمات السحابية ومصنعي البرامج ، مثل Alibaba Cloud و Baidu و IBM و Microsoft ، بتقدير الفوائد. التقنيات وبدأ تنفيذها في خدماتها ومنتجاتها. ومع ذلك ، كان هناك عقبة فنية أمام الموكب انتل إنتل SGX: المعالجات التي لا تدعم التكنولوجيا لا تزال أكثر بكثير من الدعم. تفتقر Intel SGX بشكل خاص إلى التكوينات متعددة المقابس ، والتي تستخدم غالبًا في الخدمات السحابية ومراكز البيانات.
جاء القرار من زاوية غير متوقعة. لدى Intel جهاز يسمى
Intel Visual Compute Accelerator (VCA) ،
تحدثنا لفترة قصيرة حول هذا الموضوع. هذا هو مسرع متخصص لزيادة أداء معالجة محتوى الوسائط ، في الواقع - خادم متكامل في تنسيق بطاقة PCIe x16 ، وترد خصائصه في المنشور على الرابط أعلاه. لقد قرروا اتخاذ VCA كأساس ، وبعد بعض التحسينات - تعطيل الرسومات الأساسية ، وتحسين ميزات الأمان ، إلخ. - لقد تحولت إلى بطاقة Intel SGX Card ، وهي بطاقة مزودة بثلاثة معالجات تدعم دعم Intel Software Guard Extensions ، وهي جاهزة للتفاعل مع جيوب SGX - لم يعد هذا مطلوبًا من النظام المضيف.
على هذه البطاقة نفسها ، يمكنك إلغاء تحميل الحمل الذي يتطلب موارد ، والذي يتطلب حماية إضافية. يدعم نظام خادم 2U القياسي القائم على Intel Xeon Scalable ما يصل إلى 4 بطاقات PCIe x16 ؛ وبالتالي ، على خادم واحد ، يمكن أن يعمل ما يصل إلى 12 معالجات مع البيانات الحساسة. كما هو موضح في الشكل أعلاه ، أصبح تكوين البيئة للتطبيقات أكثر راحة ومرونة ، كما أنه يحتوي على مناطق ذاكرة محمية وبسيطة على حد سواء ، وقلب المعالج مع وبدون دعم SGX ، وهكذا.
تعد بطاقة Intel SGX Card خيارًا لمزود الخدمات الرقمية لإعداد بنيته الأساسية الخاصة بملحقات Intel Software Guard Extensions دون انتظار Intel Xeon Scalable لتقديم الدعم لهذه التكنولوجيا. ربما سيكون من المفيد لشخص ما.