Новая платформа на базе масштабируемого семейства процессоров Intel® Xeon®, поможет решить критически важные задачи, стоящие перед пользователями

Сегодня Intel представила новые функции в области безопасности для будущей платформы Ice Lake, созданной на базе масштабируемого семейства процессоров Intel® Xeon® 3-го поколения. Intel расширяет функционал безопасности в соответствии с ранее представленными принципами, внедряя во все продукты платформы Ice Lake хорошо зарекомендовавшее себя решение Intel® Software Guard Extension (Intel® SGX), а также новые технологии, включая Intel® Total Memory Encryption (Intel® TME), Intel® Platform Firmware Resilience (Intel® PFR) и ускорители шифрования для повышения конфиденциальности и целостности данных.

Данные – это критически важный актив, как с точки зрения коммерческой ценности, так и с позиции необходимости защиты персональной информации, поэтому следует уделять первостепенное внимание вопросам кибербезопасности. Возможности Ice Lake позволят клиентам Intel создавать более защищенные решения и снижать риски, связанные с конфиденциальностью данных и соблюдением требований регуляторов, например, в медицинской или финансовой отраслях.

«Безопасность данных имеет большое значение при коммерциализации решений. Возможности новой платформы на базе масштабируемого семейства процессоров Xeon 3-го поколения помогут нашим клиентам решить важные проблемы, связанные с данными, с их конфиденциальностью и целостностью. Это новый этап развития партнерства в рамках созданной нами экосистемы для внедрения инноваций в области безопасности», – отметила Лиза Спелман (Lisa Spelman), корпоративный вице-президент Data Platform Group и генеральный менеджер Intel Xeon and Memory Group.

Защита данных в стеке

Технологии шифрования информации на дисках и сетевого трафика способны защитить данные в хранилище или во время передачи, однако они бессильны против изменения и перехвата данных, размещенных в оперативной памяти. Конфиденциальные вычисления – это быстроразвивающаяся сфера технологий, связанная с защитой данных в процессе их использования, при помощи доверенной среды исполнения (Trusted Execution Environment, TEE). Intel SGX – это передовая и проверенная на практике TEE-технология конфиденциальных вычислений для центров обработки данных, с наименьшей поверхностью атаки среди всех подобных систем. Она позволяет разместить в изолированных областях памяти, называемых анклавами, до 1 терабайта кода или данных выполняемого приложения.

«Microsoft Azure была первым крупным общедоступным облачным сервисом, предлагающим конфиденциальные вычисления. Сегодня наши клиенты из финансовых организаций, государственных учреждений и здравоохранения используют конфиденциальные вычисления в Azure, – сказал Марк Руссинович, технический директор Microsoft Azure. – Azure предоставляет возможность конфиденциальных вычислений для виртуальных машин, контейнеров, алгоритмов машинного обучения и многих других областей деятельности. Процессоры Intel Xeon нового поколения, оснащенные Intel SGX, с возможностью полного шифрования памяти и криптографическим ускорителем помогут нашим клиентам открыть для себя еще больше вариантов применения конфиденциальных вычислений».

Такие клиенты, как Калифорнийский университет Сан-Франциско (UCSF), NEC, «Магнит» и другие организации, работающие в секторах экономики, где существует регулирование вопросов, связанных с данными, доверили Intel поддержку своей стратегии безопасности и используют доказавшую свою эффективность технологию Intel SGX. Так, медицинские организации могут использовать доверенную вычислительную среду для сохранения конфиденциальности информации и защиты данных пациентов, например, электронных медицинских карт. В розничной торговле технологии Intel помогают ритейлерам безопасно обрабатывать информацию о поведении покупателей и защищать интеллектуальную собственность. Intel SGX открывает клиентам возможности многосторонних совместных вычислений, которые было сложно реализовать ранее из-за требований конфиденциальности, безопасности и нормативного регулирования.

Помимо Intel SGX мы представляем новые функции безопасности, расширяющие защиту данных и усиливающие возможности платформы Ice Lake:

• Полное шифрование памяти
• Для более надежной защиты всех типов памяти в платформу Ice Lake включена новая функция - Intel Total Memory Encryption (Intel TME). Она позволяет шифровать всю память, к которой имеет доступ центральный процессор Intel®, в том числе учетные данные клиентов, ключи шифрования, а также другую техническую и персональную информацию, размещенную на внешней шине. Intel разработала эту функцию для защиты от взлома на аппаратном уровне, например, чтения информации с замороженного в жидком азоте модуля DIMM или подключение оборудования для целевых атак. Для вычисления ключа шифрования Intel TME использует усиленный генератор случайных чисел, встроенный в процессор и не требующий программного обеспечения, а кодирование выполняется по стандарту AES XTS, созданному Национальным институтом стандартов и технологий (NIST). Это улучшает защиту памяти, без необходимости модифицировать существующее программное обеспечение.
• Криптографическое ускорение
• Одна из целей Intel – сократить влияние функций безопасности на производительность системы, чтобы избавить клиентов от выбора между более надежной защитой и большей производительностью. Ice Lake обеспечивает высокую криптографическую эффективность за счет поддержки нескольких новых отраслевых инструкций в сочетании с алгоритмическими и программными инновациями. Intel разработала два принципиально новых вычислительных метода – одновременное выполнение двух алгоритмов, которые обычно выполняются вместе, но последовательно, и параллельная обработка нескольких независимых буферов данных.
• Повышение устойчивости
• Опытные злоумышленники могут попытаться скомпрометировать или отключить встроенное ПО компьютера, чтобы перехватить данные или вывести из строя сервер. Для защиты системных микропрограмм Ice Lake использует технологию Intel® Platform Firmware Resilience (Intel PFR), встроенную в платформу на базе масштабируемого семейства процессоров Intel Xeon. Она позволяет обнаружить и устранить атаки на прошивку, прежде чем они успеют скомпрометировать ее или отключить компьютер. Intel PFR использует Intel FPGA в качестве корня доверия (Root-of-Trust) для проверки критически-важных загружаемых компонентов прошивки до того, как они будут запущены. Таким образом можно усилить защиту Flash BIOS, Flash BMC, дескриптор SPI, Intel® Management Engine и прошивку блока питания.

Надежные платформы на базе масштабируемого семейства процессоров Xeon Scalable 3-го поколения с новым функционалом безопасности помогут совершенствовать решения и модели использования данных для тех компаний, которые стремятся полностью раскрыть их потенциал.