让我提醒您什么是
Intel Software Guard Extensions 。 顾名思义,这里的重点是安全性。 人类提出了许多软件方法来保护其IT基础架构免受恶意或未经授权的代码的侵害,但是,所有这些方法都有其自身的基本局限性。 为了解决这些问题,保护必须始于计算机的核心-它的处理器,并依靠其功能。
英特尔利用这一原理开发了英特尔SGX扩展程序-一组CPU指令,使应用程序可以在应用程序的地址空间中创建隔离区和受保护区域,即使存在具有特权权限的恶意程序,也可以确保机密性和完整性。
这篇文章是关于适用于任何服务器平台的基于新硬件的英特尔SGX-
英特尔SGX卡 。
英特尔SGX飞地的工作原理如下:
- 不管当前权限级别和CPU操作模式如何,都无法访问从安全区外部进行读写的安全区内存。
- 工作级别的安全区不可用于通过软件或硬件调试器进行调试。 (您可以创建具有调试属性的安全区,英特尔SGX调试器可以在其中以与标准调试器相同的方式查看安全区的内容。这样做是为了增加软件开发过程的便利性。)
- 使用经典的函数调用,转换,寄存器操作或堆栈,无法进入飞地环境。 调用安全区功能的唯一方法是使用一条执行若干安全检查的新指令。
- 安全区内存使用具有回放保护功能的标准加密算法进行保护。 如果读取内存或将内存模块连接到另一个系统,则只能获取加密的数据。
- 内存加密密钥随开机周期的每次更改而随机更改(例如,在加载时,在睡眠和休眠后恢复工作时)。 该密钥存储在CPU内部,无法从外部访问。
- 数据包含在安全区中,并且仅可用于该安全区的代码。
英特尔SGX大大减少了外围软件漏洞英特尔软件卫士扩展解决方案于2016年推出,此后许多英特尔至强服务器处理器都获得了支持,此后,阿里云,百度,IBM和微软等多家最大的云提供商和软件制造商纷纷评估了其优势技术并开始在其服务和产品中实施。 但是,英特尔SGX取得胜利的过程存在一个技术障碍:不支持该技术的处理器远远超出了支持范围。 英特尔SGX在多插槽配置中尤其缺乏,该配置通常用于云服务和数据中心。
这个决定来自一个出乎意料的角度。 英特尔拥有一种称为“
英特尔视觉计算加速器(VCA)”的设备 ,我们对此进行了简要介绍。 这是一个专门的加速器,用于提高处理媒体内容的性能,实际上-PCIe x16卡格式的功能强大的服务器,其特性在上面的链接中提供。 他们决定以VCA为基础,并进行了一些改进-禁用图形核心,优化安全功能等。 -事实证明,英特尔SGX卡是一种配备有三个处理器的卡,支持英特尔软件卫士扩展,可以与SGX安全区进行交互-主机系统不再需要此卡。
在同一张卡上,您可以减轻资源需求负载的负担,这需要其他保护。 基于Intel Xeon可扩展性的标准2U服务器平台最多支持4个PCIe x16卡; 因此,在一台服务器上,最多12个处理器可以处理敏感数据。 如上图所示,应用程序环境的配置变得更加舒适和灵活,它们具有受保护的区域和简单的存储区域,具有或不具有SGX支持的处理器内核,等等。
英特尔SGX卡是数字服务提供商的一种选择,可以为英特尔Software Guard Extensions准备其基础架构,而无需等待英特尔至强可扩展性对该技术的支持。 也许对某人有用。