Deixe-me lembrá-lo do que
são as extensões Intel Software Guard . Como o nome indica, o ponto aqui é segurança. A humanidade criou muitos métodos de software para proteger sua infraestrutura de TI de códigos maliciosos ou não autorizados, mas todos esses métodos têm suas próprias limitações fundamentais. Para contorná-los, é necessário que a proteção comece no coração do computador - seu processador e confie em sua funcionalidade.
Usando esse princípio, a Intel desenvolveu extensões Intel SGX - um conjunto de instruções da CPU que permitem que os aplicativos criem enclaves, áreas protegidas no espaço de endereço do aplicativo, que garantem confidencialidade e integridade mesmo na presença de malware privilegiado.
Esta publicação é sobre o novo Intel SGX baseado em hardware para qualquer plataforma de servidor -
Placa Intel SGX .
Os princípios operacionais dos enclaves Intel SGX são os seguintes:
- O acesso à memória do enclave para leitura e gravação de fora do enclave está ausente, independentemente do nível atual de direitos e do modo de operação da CPU.
- Os enclaves do nível de trabalho não estão disponíveis para depuração com depuradores de software ou hardware. (Você pode criar um enclave com um atributo debug, no qual o depurador Intel SGX pode exibir o conteúdo do enclave da mesma maneira que um depurador padrão. Isso é feito para aumentar a conveniência do processo de desenvolvimento de software.)
- É impossível entrar em um ambiente de enclave usando chamadas de função clássicas, transições, manipulações de registro ou com a pilha. A única maneira de chamar a função enclave é com uma nova instrução que executa várias verificações de segurança.
- A memória do enclave é protegida usando algoritmos de criptografia padrão com proteção de reprodução. Se você ler a memória ou conectar os módulos de memória a outro sistema, poderá obter apenas dados criptografados.
- A chave de criptografia de memória é alterada aleatoriamente a cada alteração no ciclo de energia (por exemplo, ao carregar, ao retomar o trabalho após suspensão e hibernação). A chave é armazenada dentro da CPU e não é acessível por fora.
- Os dados estão entre enclaves e estão disponíveis apenas para o código desse enclave.
Intel SGX reduz significativamente a vulnerabilidade de software do perímetroA solução Intel Software Guard Extensions foi lançada em 2016. Desde então, vários processadores de servidor Intel Xeon receberam seu suporte, após o qual, por sua vez, vários dos maiores provedores e fabricantes de software em nuvem, como Alibaba Cloud, Baidu, IBM e Microsoft, estimaram as vantagens tecnologias e começaram a implementá-lo em seus serviços e produtos. No entanto, havia um obstáculo técnico à procissão triunfal da Intel SGX: os processadores que não suportam a tecnologia ainda são muito mais que o suporte. O Intel SGX está especialmente ausente nas configurações de soquetes múltiplos, que são frequentemente usadas em serviços em nuvem e data centers.
A decisão veio de um ângulo inesperado. Intel tem um dispositivo chamado
Intel Visual Compute Accelerator (VCA) , falamos brevemente sobre isso. Este é um acelerador especializado para aumentar o desempenho do processamento de conteúdo de mídia, de fato - um servidor completo no formato de placa PCIe x16, suas características são fornecidas na publicação no link acima. Foi o VCA que eles decidiram tomar como base e, após algumas melhorias - desabilitar o núcleo gráfico, otimizar os recursos de segurança etc. - revelou o Intel SGX Card, um cartão equipado com três processadores com suporte para Intel Software Guard Extensions, pronto para assumir a interação com os enclaves SGX - isso não é mais necessário no sistema host.
Nesta mesma placa, você pode descarregar a carga que requer recursos, o que requer proteção adicional. A plataforma de servidor 2U padrão baseada no Intel Xeon Scalable suporta até 4 placas PCIe x16; Assim, em um servidor, até 12 processadores podem trabalhar com dados confidenciais. Conforme mostrado na figura acima, a configuração do ambiente para aplicativos tornou-se mais confortável e flexível, com áreas de memória simples e protegidas, núcleos de processador com e sem suporte SGX e assim por diante.
A placa Intel SGX é uma opção para um provedor de serviços digitais preparar sua infraestrutura para as extensões Intel Software Guard sem esperar que o Intel Xeon Scalable seja fornecido com suporte para essa tecnologia. Talvez seja útil para alguém.