Il “computing confidenziale” arriva sui server con i chip Intel
I chip Xeon Scalable di terza generazione (Ice Lake) per server introdurranno ambiente di esecuzione protetto, cifratura della memoria, resilienza del firmware e acceleratori crittografici.
Pubblicato il 15 ottobre 2020 da Redazione
Missione sicurezza per i prossimi processori Intel Xeon Scalable, la piattaforma di terza generazione nota anche con il nome in codice “Ice Lake”. La società di Santa Clara ha fatto sapere che questi processori, il prossimo lancio, saranno particolarmente adatti a sostenere carichi di lavoro e dati sensibili, assicurando aggiuntive misurezza di protezione da attacchi, incidenti informatici e violazioni di privacy. E non parliamo di semplice crittografia. Questi chip introdurranno sui server il “computing confidenziale”, ovvero un tipo di calcolo che protegge i dati mentre sono in esecuzione all’interno di un ambiente sicuro, detto Trusted Execution Environment (TEE).
Perché è importante? La crittografia del traffico su disco e di rete protegge i dati archiviati e quelli in fase di trasmissione, ma li lascia vulnerabili a violazioni e manomissioni in fase di elaborazione in-memory. Il TEE serve proprio a colmare questa lacuna. Una delle novità dei prossimi Xeon Scalable sarà dunque il supporto a Intel Software Guard Extension (Intel Sgx), un software che crea un ambiente di esecuzione sicuro isolando le applicazioni in un’area di memoria privata (detta enclave) con capacità di 1 TB.
Altra funzione di sicurezza introdotta sui chip Ice Lake sarà la cifratura completa della memoria: una tecnologia proprietaria, chiamata Total Memory Encryption, garantirà che tutta la memoria a cui si accede dalla Cpu sia crittografata, comprese le credenziali del cliente, le chiavi di crittografia e altra proprietà intellettuale o informazioni personali sul bus di memoria esterno. Intel ha fatto sapere di sviluppato questa funzionalità per proteggere meglio la memoria di sistema da attacchi eseguiti tramite hardware (per esempio, rimuovendo il modulo DIMM (Dual In-Line Memory Module) dopo averlo irrorato con azoto liquido o avere installato un componente di attacco appositamente costruito). Total Memory Encryption crea una chiave crittografica basata sullo standard di cifratura del National Institute of Standards and Technology (Nist), e lo fa utilizzando un generatore di numeri casuali integrato nel processore, senza dunque alcuna esposizione al software. Questo dettaglio consente al software esistente di funzionare senza interruzioni.
Una terza misura di sicurezza introdotta sugli Xeon Scalable è l'accelerazione crittografica basata su due tecnologie innovative: la prima, una tecnica per l’esecuzione simultanea di due algoritmi che funzionano in combinazione; la seconda, un metodo che permette di elaborare molteplici buffer di dati indipendenti in parallelo. Un ultimo vantaggio sottolineato da Intel è l’elevata resilienza che questi chip garantiscono ai dati e ai server. Con Ice Lake debutta una tecnologia proprietaria chiamata Platform Firmware Resilience, la quale rileva gli eventuali attacchi al firmware e li corregge prima che possano compromettere o disabilitare la macchina. Un componente Fpga Intel viene utilizzato come “root of trust” della piattaforma per convalidare i componenti firmware essenziali prima che venga eseguito qualsiasi codice.
Tra i grandi data center del cloud pubblico già impegnati ad accogliere nuovi server basati su processori Ice Lake spiccano quelli di Microsoft. "Azure offre opzioni di confidential computing per macchine virtuali, contenitori, machine learning e altro ancora”, ha commentato Mark Russinovich, chief technology officer di Microsoft Azure. “Siamo convinti che i processori Intel Xeon di nuova generazione con Intel SGX, crittografia completa della memoria e accelerazione crittografica aiuteranno i nostri clienti a implementare scenari di confidential computing ancora più riservati".
INTEL
