Intel
Intel tillkännagav flera säkerhetsrelaterade innovationer som nu ingår i Ice Lake CPU-arkitekturen. Som en del av Säkerhet första löftet , Intel har införlivat tekniker som Intel SGX , Minneskryptering, fast programvarubeständighet och genombrott kryptografiska acceleratorer inom 3rd-Gen Intel Xeon-processorer.
De kommande 3rdGeneration Intel Xeon skalbar plattform med kodnamnet 'Ice Lake' kommer att ha flera tekniker som arbetar tillsammans för att skydda känsliga arbetsbelastningar. Dessa nya innovationer bör göra det möjligt för nya vägar att arbeta med känsliga datapaket som måste skyddas mot dagens hot. Medan Intel Software Guard Extensions nu är tillgängligt för volym mainstream-serverplattformen med Ice Lake-generationen av processorer, finns det tre andra tekniker som förbättrar säkerheten och skyddet av enorma mängder data som bearbetas varje dag.
Hela utbudet av Ice Lake-plattformar får flera nya datasäkerhets- och skyddsteknologier:
Förutom Intel Software Guard Extension (Intel SGX), kommer den kommande 3rd-Gen Ice Lake-SP-processorer som kommer att ingå i Xeon-processorer av klass Server kommer att ha nya funktioner som inkluderar Intel Total Memory Encryption (Intel TME), Intel Platform Firmware Resilience (Intel PFR) och nya kryptografiska acceleratorer. Tillsammans bör dessa teknologier öka den övergripande konfidentialiteten och integriteten för data som behandlas i servrar i alla led.
[Bildkredit: VideoCardz]
[Bildkredit: VideoCardz]
Intel försäkrar säkerhetsfunktionerna i Ice Lake som gör det möjligt för företagets kunder att utveckla lösningar som hjälper till att förbättra deras säkerhetsställning och minska risker relaterade till integritet och efterlevnad, såsom reglerad data inom finansiella tjänster och hälso- och sjukvård.
Standardteknik som kryptering av disk- och nätverkstrafik skyddar vanligtvis data i lagring och under överföring. Data kan dock vara utsatta för avlyssning och manipulering när de används i minnet. Intel SGX är en Trusted Execution Environment (TEE) som möjliggör isolering av applikationer i privata minnesregioner, så kallade enklaver, för att skydda upp till 1 terabyte kod och data under användning.
Nya Intel-säkerhetsfokuserade tekniker som kommer att bäddas in i 3rd-Gen Ice Lake Xeon Server-grade CPU:
Intel släppte ett pressmeddelande som nämner de nya teknikerna som kommer att bäddas in i de nya Xeon-processorerna. Dessa teknologier skyddar i huvudsak data inte bara medan den vilar i lagringsenheter och under bearbetning utan också under övergången från CPU till RAM och andra områden. De borde kunna skydda data även om ett skadligt hot kan få råa minnesdumpar från komprometterade system. Nedan följer en kort beskrivning av var och en av teknikerna.
- Full minneskryptering : För att bättre skydda hela plattformens minne introducerar Ice Lake en ny funktion som heter Intel Total Memory Encryption (Intel TME). Intel TME hjälper till att säkerställa att allt minne som nås från Intel CPU är krypterat, inklusive autentiseringsuppgifter, krypteringsnycklar och annan IP- eller personlig information på den externa minnesbussen. Intel utvecklade den här funktionen för att ge ett bättre skydd för systemminnet mot hårdvaruattacker, som att ta bort och läsa den dubbla in-line-minnesmodulen (DIMM) efter att ha sprutat den med flytande kväve eller installerat specialbyggd attackhårdvara. Med hjälp av National Institute of Standards and Technology (NIST) lagringskrypteringsstandard AES XTS genereras en krypteringsnyckel med en härdad slumptalsgenerator i processorn utan exponering för programvara. Detta gör att befintlig programvara kan köras omodifierad samtidigt som minnet skyddas bättre.
- Kryptografisk acceleration : Ett av Intels designmål är att ta bort eller minska prestandapåverkan av ökad säkerhet så att kunderna inte behöver välja mellan bättre skydd och acceptabel prestanda. Ice Lake introducerar flera nya instruktioner som används i hela branschen, tillsammans med algoritmiska och mjukvaruinnovationer, för att leverera banbrytande kryptografisk prestanda. Det finns två grundläggande innovationer. Den första är en teknik för att sy ihop operationerna för två algoritmer som vanligtvis körs i kombination men ändå sekventiellt, så att de kan köras samtidigt. Den andra är en metod för att behandla flera oberoende databuffertar parallellt.
- Firmware motståndskraft : Sofistikerade motståndare kan försöka kompromissa eller inaktivera plattformens firmware för att fånga upp data eller ta ner servern. Ice Lake introducerar Intel Platform Firmware Resilience (Intel PFR) till Intel Xeon Scalable-plattformen för att skydda mot attacker från plattformens firmware. Den är utformad för att upptäcka och korrigera firmware innan de kan kompromissa eller inaktivera maskinen. Intel PFR använder en Intel FPGA som en plattformsförtroende för att validera firmware-komponenter som är viktiga att starta innan någon firmwarekod körs. De skyddade firmwarekomponenterna kan inkludera BIOS Flash, BMC Flash, SPI Descriptor, Intel Management Engine och firmware för strömförsörjning.
