Biarkan saya mengingatkan Anda apa itu
Intel Software Guard Extensions . Seperti namanya, intinya di sini adalah keamanan. Manusia telah datang dengan banyak metode perangkat lunak untuk melindungi infrastruktur TI-nya dari kode berbahaya atau tidak resmi, namun, semua metode ini memiliki keterbatasan mendasar mereka sendiri. Untuk menyiasatinya, perlu bahwa perlindungan dimulai di jantung komputer - prosesor dan bergantung pada fungsinya.
Dengan menggunakan prinsip ini, Intel telah mengembangkan Intel SGX Extensions - serangkaian instruksi CPU yang memungkinkan aplikasi untuk membuat enklaf, area yang dilindungi dalam ruang alamat aplikasi, yang memastikan kerahasiaan dan integritas bahkan di hadapan program jahat dengan hak istimewa.
Posting ini adalah tentang perangkat keras baru berbasis Intel SGX untuk semua platform server -
Kartu Intel SGX .
Prinsip-prinsip pengoperasian Intel SGX enclave adalah sebagai berikut:
- Akses ke memori kantong untuk membaca dan menulis dari luar kantong tidak ada, terlepas dari tingkat hak saat ini dan mode operasi CPU.
- Enklaf di tingkat kerja tidak tersedia untuk debugging dengan perangkat lunak atau perangkat keras pen-debug perangkat keras. (Anda dapat membuat enklave dengan atribut debug, di mana Intel SGX debugger dapat melihat konten enklave dengan cara yang sama seperti debugger standar. Ini dilakukan untuk meningkatkan kenyamanan proses pengembangan perangkat lunak.)
- Tidak mungkin untuk memasuki lingkungan kantong menggunakan panggilan fungsi klasik, transisi, manipulasi register, atau dengan stack. Satu-satunya cara untuk menjalankan fungsi enklave adalah dengan instruksi baru yang melakukan beberapa pemeriksaan keamanan.
- Memori enklave dilindungi menggunakan algoritma enkripsi standar dengan perlindungan pemutaran. Jika Anda membaca memori atau menghubungkan modul memori ke sistem lain, Anda hanya bisa mendapatkan data terenkripsi.
- Kunci enkripsi memori diubah secara acak dengan setiap perubahan dalam siklus daya (misalnya, saat memuat, saat melanjutkan bekerja setelah tidur dan hibernasi). Kunci disimpan di dalam CPU dan tidak dapat diakses dari luar.
- Data terlampir dalam kantong dan hanya tersedia untuk kode untuk kantong itu.
Intel SGX secara signifikan mengurangi kerentanan perimeter perangkat lunakSolusi Intel Software Guard Extensions diperkenalkan pada tahun 2016, sejak itu sejumlah prosesor server Intel Xeon telah menerima dukungannya, setelah itu, pada gilirannya, sejumlah penyedia cloud dan produsen perangkat lunak terbesar, seperti Alibaba Cloud, Baidu, IBM dan Microsoft, telah menghargai manfaatnya teknologi dan mulai menerapkannya dalam layanan dan produk mereka. Namun, ada kendala teknis untuk prosesi kemenangan Intel SGX: prosesor yang tidak mendukung teknologi masih jauh lebih banyak daripada dukungan. Intel SGX khususnya kurang dalam konfigurasi multi-soket, yang sering digunakan dalam layanan cloud dan pusat data.
Keputusan itu datang dari sudut yang tidak terduga. Intel memiliki perangkat yang disebut
Intel Visual Compute Accelerator (VCA) , kami secara singkat
membicarakannya . Ini adalah akselerator khusus untuk meningkatkan kinerja pemrosesan konten media, pada kenyataannya - server lengkap dalam format kartu PCIe x16, karakteristiknya diberikan pada pos di tautan di atas. VCA-lah yang mereka putuskan untuk dijadikan sebagai dasar, dan setelah beberapa perbaikan - menonaktifkan inti grafis, mengoptimalkan fitur keamanan, dll. - Ternyata Kartu Intel SGX, kartu yang dilengkapi dengan tiga prosesor dengan dukungan untuk Intel Software Guard Extensions, siap untuk melakukan interaksi dengan kantong SGX - ini tidak lagi diperlukan dari sistem host.
Pada kartu yang sama ini, Anda dapat mengeluarkan muatan yang menuntut sumber daya, yang membutuhkan perlindungan tambahan. Platform server 2U standar berdasarkan Intel Xeon Scalable mendukung hingga 4 kartu PCIe x16; Dengan demikian, pada satu server, hingga 12 prosesor dapat bekerja dengan data sensitif. Seperti yang ditunjukkan pada gambar di atas, konfigurasi lingkungan untuk aplikasi menjadi lebih nyaman dan fleksibel, keduanya memiliki area memori yang terlindungi dan sederhana, inti prosesor dengan dan tanpa dukungan SGX, dan sebagainya.
Kartu Intel SGX adalah opsi bagi penyedia layanan digital untuk mempersiapkan infrastruktur mereka untuk Ekstensi Perangkat Lunak Intel tanpa menunggu Intel Xeon Scalable datang dengan dukungan untuk teknologi ini. Mungkin itu akan bermanfaat bagi seseorang.