Intel представила новые функции в области безопасности для своей платформы Ice Lake, созданной на базе масштабируемого семейства процессоров Intel Xeon 3-го поколения. Intel внедряет во все продукты платформы Ice Lake хорошо зарекомендовавшее себя решение Intel Software Guard Extension (Intel SGX), а также новые технологии, включая Intel Total Memory Encryption (Intel TME), Intel Platform Firmware Resilience (Intel PFR) и ускорители шифрования для повышения конфиденциальности и целостности данных.
Данные – это критически важный актив, как с точки зрения коммерческой ценности, так и с позиции необходимости защиты персональной информации, поэтому следует уделять первостепенное внимание вопросам кибербезопасности. Возможности Ice Lake позволят клиентам Intel создавать более защищенные решения и снижать риски, связанные с конфиденциальностью данных и соблюдением требований регуляторов, например, в медицинской или финансовой отраслях.
Защита данных в стеке
Технологии шифрования информации на дисках и сетевого трафика способны защитить данные в хранилище или во время передачи, однако они бессильны против изменения и перехвата данных, размещенных в оперативной памяти. Конфиденциальные вычисления – это быстроразвивающаяся сфера технологий, связанная с защитой данных в процессе их использования, при помощи доверенной среды исполнения TEE (Trusted Execution Environment). Intel SGX – это передовая и проверенная на практике TEE-технология конфиденциальных вычислений для центров обработки данных, с наименьшей поверхностью атаки среди всех подобных систем. Она позволяет разместить в изолированных областях памяти, называемых анклавами, до 1 терабайта кода или данных выполняемого приложения.
Такие клиенты, как Калифорнийский университет Сан-Франциско (UCSF), NEC, «Магнит» и другие организации, работающие в секторах экономики, где существует регулирование вопросов, связанных с данными, доверили Intel поддержку своей стратегии безопасности и используют доказавшую свою эффективность технологию Intel SGX. Так, медицинские организации могут использовать доверенную вычислительную среду для сохранения конфиденциальности информации и защиты данных пациентов, например, электронных медицинских карт. В розничной торговле технологии Intel помогают ритейлерам безопасно обрабатывать информацию о поведении покупателей и защищать интеллектуальную собственность. Intel SGX открывает клиентам возможности многосторонних совместных вычислений, которые было сложно реализовать ранее из-за требований конфиденциальности, безопасности и нормативного регулирования.
«Магнит» – история успеха
«Магнит», одна из ведущих российских сетей продуктовых магазинов, насчитывающая более 20 000 розничных точек, которые посещают 16 миллионов покупателей в день, внедрила Intel SGX в свою платформу управления цифровой рекламой. Система созданная Aggregion и Scontain использует безопасную инфраструктуру Azure Confidential Computing на базе Intel SGX. При помощи анонимных данных о клиентах, таких как список покупок в «Магните», платформа способна повысить точность показа рекламных объявлений. Технология Intel SGX применяется для защиты исходной информации, используемой системой.
«Магнит» использует технологию Intel SGX, чтобы работать с партнерами, желающими присоединиться к управлению рекламными кампаниями на созданной платформе, но опасающимся за конфиденциальность совместного использования данных. Исторически, создание систем для безопасной обработки и обмена данными между несколькими сторонами (такими как рекламодатели, поставщики товаров повседневного спроса и розничные продавцы) было серьезной задачей. При помощи доверенной среды обработки данных на базе Intel SGX «Магнит» может повысить безопасность сотрудничества между участниками системы, стремящимися сохранить конфиденциальность данных и защитить свою интеллектуальную собственность. «Магнит» и его партнеры понимают, что с ростом цифровизации и переходом в облако, защита кода и конфиденциальной информации с использованием доверенной вычислительной среды, будет иметь ключевое значение для обеспечения безопасности данных.
Платформа Ice Lake
Intel представляет новые функции безопасности, расширяющие защиту данных и усиливающие возможности платформы Ice Lake.
Полное шифрование памяти. Для более надежной защиты всех типов памяти в платформу Ice Lake включена новая функция – Intel TME (Intel Total Memory Encryption). Она позволяет шифровать всю память, к которой имеет доступ центральный процессор Intel, в том числе учетные данные клиентов, ключи шифрования, а также другую техническую и персональную информацию, размещенную на внешней шине. Intel разработала эту функцию для защиты от взлома на аппаратном уровне, например, чтения информации с замороженного в жидком азоте модуля DIMM или подключение оборудования для целевых атак. Для вычисления ключа шифрования Intel TME использует усиленный генератор случайных чисел, встроенный в процессор и не требующий программного обеспечения, а кодирование выполняется по стандарту AES XTS, созданному NIST (Национальным институтом стандартов и технологий). Это улучшает защиту памяти, без необходимости модифицировать существующее программное обеспечение.
Криптографическое ускорение. Одна из целей Intel – сократить влияние функций безопасности на производительность системы, чтобы избавить клиентов от выбора между более надежной защитой и большей производительностью. Ice Lake обеспечивает высокую криптографическую эффективность за счет поддержки нескольких новых отраслевых инструкций в сочетании с алгоритмическими и программными инновациями. Intel разработала два принципиально новых вычислительных метода – одновременное выполнение двух алгоритмов, которые обычно выполняются вместе, но последовательно, и параллельная обработка нескольких независимых буферов данных.
Повышение устойчивости. Опытные злоумышленники могут попытаться скомпрометировать или отключить встроенное ПО компьютера, чтобы перехватить данные или вывести из строя сервер. Для защиты системных микропрограмм Ice Lake использует технологию Intel PFR (Intel Platform Firmware Resilience), встроенную в платформу на базе масштабируемого семейства процессоров Intel Xeon. Она позволяет обнаружить и устранить атаки на прошивку, прежде чем они успеют скомпрометировать ее или отключить компьютер. Intel PFR использует Intel FPGA в качестве корня доверия (Root-of-Trust) для проверки критически-важных загружаемых компонентов прошивки до того, как они будут запущены. Таким образом можно усилить защиту Flash BIOS, Flash BMC, дескриптор SPI, Intel Management Engine и прошивку блока питания
Надежные платформы на базе масштабируемого семейства процессоров Xeon Scalable 3-го поколения помогут совершенствовать решения и модели использования данных для тех компаний, которые стремятся полностью раскрыть их потенциал.
