Спецпроекты

Intel представила новые функции безопасности для платформы Ice Lake

Интеграция Инфраструктура

Intel представила новые функции в области безопасности для будущей платформы Ice Lake, созданной на базе масштабируемого семейства процессоров Intel Xeon 3 поколения. Intel расширяет функционал безопасности в соответствии с ранее представленными принципами, внедряя во все продукты платформы Ice Lake хорошо зарекомендовавшее себя решение Intel Software Guard Extension (Intel SGX), а также новые технологии, включая Intel Total Memory Encryption (Intel TME), Intel Platform Firmware Resilience (Intel PFR) и ускорители шифрования для повышения конфиденциальности и целостности данных.

Данные – это критически важный актив, как с точки зрения коммерческой ценности, так и с позиции необходимости защиты персональной информации, поэтому следует уделять первостепенное внимание вопросам кибербезопасности. Возможности Ice Lake позволят клиентам Intel создавать более защищенные решения и снижать риски, связанные с конфиденциальностью данных и соблюдением требований регуляторов, например, в медицинской или финансовой отраслях.

«Безопасность данных имеет большое значение при коммерциализации решений. Возможности новой платформы на базе масштабируемого семейства процессоров Xeon 3 поколения помогут нашим клиентам решить важные проблемы, связанные с данными, с их конфиденциальностью и целостностью. Это новый этап развития партнерства в рамках созданной нами экосистемы для внедрения инноваций в области безопасности», – отметила Лиза Спелман (Lisa Spelman), корпоративный вице-президент Data Platform Group и генеральный менеджер Intel Xeon and Memory Group.

Технологии шифрования информации на дисках и сетевого трафика способны защитить данные в хранилище или во время передачи, однако они бессильны против изменения и перехвата данных, размещенных в оперативной памяти. Конфиденциальные вычисления – это быстроразвивающаяся сфера технологий, связанная с защитой данных в процессе их использования, при помощи доверенной среды исполнения (Trusted Execution Environment, TEE). Intel SGX – это передовая и проверенная на практике TEE-технология конфиденциальных вычислений для центров обработки данных, с наименьшей поверхностью атаки среди всех подобных систем. Она позволяет разместить в изолированных областях памяти, называемых анклавами, до 1 терабайта кода или данных выполняемого приложения.

«Microsoft Azure была первым крупным общедоступным облачным сервисом, предлагающим конфиденциальные вычисления. Сегодня наши клиенты из финансовых организаций, государственных учреждений и здравоохранения используют конфиденциальные вычисления в Azure, – сказал Марк Руссинович, технический директор Microsoft Azure. – Azure предоставляет возможность конфиденциальных вычислений для виртуальных машин, контейнеров, алгоритмов машинного обучения и многих других областей деятельности. Процессоры Intel Xeon нового поколения, оснащенные Intel SGX, с возможностью полного шифрования памяти и криптографическим ускорителем помогут нашим клиентам открыть для себя еще больше вариантов применения конфиденциальных вычислений».

Такие клиенты, как Калифорнийский университет Сан-Франциско (UCSF), NEC, «Магнит» и другие организации, работающие в секторах экономики, где существует регулирование вопросов, связанных с данными, доверили Intel поддержку своей стратегии безопасности и используют доказавшую свою эффективность технологию Intel SGX. Так, медицинские организации могут использовать доверенную вычислительную среду для сохранения конфиденциальности информации и защиты данных пациентов, например, электронных медицинских карт. В розничной торговле технологии Intel помогают ритейлерам безопасно обрабатывать информацию о поведении покупателей и защищать интеллектуальную собственность. Intel SGX открывает клиентам возможности многосторонних совместных вычислений, которые было сложно реализовать ранее из-за требований конфиденциальности, безопасности и нормативного регулирования.

Помимо Intel SGX мы представляем новые функции безопасности, расширяющие защиту данных и усиливающие возможности платформы Ice Lake.

Для более надежной защиты всех типов памяти в платформу Ice Lake включена новая функция - Intel Total Memory Encryption (Intel TME). Она позволяет шифровать всю память, к которой имеет доступ центральный процессор Intel, в том числе учетные данные клиентов, ключи шифрования, а также другую техническую и персональную информацию, размещенную на внешней шине. Intel разработала эту функцию для защиты от взлома на аппаратном уровне, например, чтения информации с замороженного в жидком азоте модуля DIMM или подключение оборудования для целевых атак. Для вычисления ключа шифрования Intel TME использует усиленный генератор случайных чисел, встроенный в процессор и не требующий программного обеспечения, а кодирование выполняется по стандарту AES XTS, созданному Национальным институтом стандартов и технологий (NIST). Это улучшает защиту памяти, без необходимости модифицировать существующее программное обеспечение.

Одна из целей Intel – сократить влияние функций безопасности на производительность системы, чтобы избавить клиентов от выбора между более надежной защитой и большей производительностью. Ice Lake обеспечивает высокую криптографическую эффективность за счет поддержки нескольких новых отраслевых инструкций в сочетании с алгоритмическими и программными инновациями. Intel разработала два принципиально новых вычислительных метода – одновременное выполнение двух алгоритмов, которые обычно выполняются вместе, но последовательно, и параллельная обработка нескольких независимых буферов данных.

Опытные злоумышленники могут попытаться скомпрометировать или отключить встроенное ПО компьютера, чтобы перехватить данные или вывести из строя сервер. Для защиты системных микропрограмм Ice Lake использует технологию Intel Platform Firmware Resilience (Intel PFR), встроенную в платформу на базе масштабируемого семейства процессоров Intel Xeon. Она позволяет обнаружить и устранить атаки на прошивку, прежде чем они успеют скомпрометировать ее или отключить компьютер. Intel PFR использует Intel FPGA в качестве корня доверия (Root-of-Trust) для проверки критически-важных загружаемых компонентов прошивки до того, как они будут запущены. Таким образом можно усилить защиту Flash BIOS, Flash BMC, дескриптор SPI, Intel Management Engine и прошивку блока питания

Надежные платформы на базе масштабируемого семейства процессоров Xeon Scalable 3 поколения с новым функционалом безопасности помогут совершенствовать решения и модели использования данных для тех компаний, которые стремятся полностью раскрыть их потенциал.