Intel Ice Lake-SP Xeon Server-grade CPU'er får flere sikkerheds- og databeskyttelsesfunktioner, der kan falde ned til forbrugerne
Intel annoncerede flere sikkerhedsrelaterede innovationer, der nu er en del af Ice Lake CPU-arkitekturen. Som en del af Security First Pledge har Intel indarbejdet teknologier som Intel SGX, Memory Encryption, Firmware Resilience og Breakthrough Cryptographic Accelerators inden for de 3rd-Gen Intel Xeon CPU'er.
Det kommende 3rd Generation Intel Xeon skalerbar platform, kodenavnet “Ice Lake” vil have flere teknologier, der arbejder sammen om at beskytte følsomme arbejdsbelastninger. Disse nye innovationer skal gøre det muligt for nye veje at arbejde med følsomme datapakker, der skal sikres mod moderne trusler. Mens Intel Software Guard Extensions nu er tilgængelig for volumen mainstream serverplatform med Ice Lake generation af CPU'er, er der tre andre teknologier, der forbedrer sikkerheden og beskyttelsen af enorme mængder data, der behandles hver dag.
Hele spektret af Ice Lake-platforme Få flere nye datasikkerheds- og beskyttelsesteknologier:
Ud over Intel Software Guard Extension (Intel SGX), den kommende 3rd-Gen Ice Lake-SP CPU'er, der vil være en del af Xeon Server-grade processorer, har nye funktioner, der inkluderer Intel Total Memory Encryption (Intel TME), Intel Platform Firmware Resilience (Intel PFR) og nye kryptografiske acceleratorer. Tilsammen skal disse teknologier øge den generelle fortrolighed og integritet af data, der behandles i servere i alle faser.
Intel forsikrer sikkerhedsfunktionerne i Ice Lake, der gør det muligt for virksomhedens kunder at udvikle løsninger, der hjælper med at forbedre deres sikkerhedsstilling og reducere risici relateret til privatlivets fred og overholdelse, såsom regulerede data inden for finansielle tjenester og sundhedspleje.
Standardteknologier såsom disk- og netværkstrafikkryptering beskytter typisk data i lagring og under transmission. Data kan dog være sårbare over for aflytning og manipulation, mens de bruges i hukommelsen. Intel SGX er et Trusted Execution Environment (TEE), der muliggør isolering af applikationer i private hukommelsesregioner, kaldet enklaver, for at hjælpe med at beskytte op til 1 terabyte kode og data under brug.
Nye Intel-sikkerhedsfokuserede teknologier, der bliver integreret inde i 3rd-Gen Ice Lake Xeon Server-grade CPU'er:
Intel udgav en pressemeddelelse, der nævner de nye teknologier, der vil blive integreret i de nye Xeon-CPU'er. Disse teknologier beskytter i det væsentlige dataene ikke kun mens de hviler på lagerenheder og under behandling, men også under overgangen fra CPU til RAM og andre områder. De skal være i stand til at beskytte data, selvom en ondsindet trussel er i stand til at opnå rå hukommelsesdumps fra kompromitterede systemer. Følgende er en kort beskrivelse af hver af teknologierne.
- Fuld hukommelseskryptering: For bedre at beskytte hele platformens hukommelse introducerer Ice Lake en ny funktion kaldet Intel Total Memory Encryption (Intel TME). Intel TME hjælper med at sikre, at al hukommelse, der fås adgang til fra Intel CPU, er krypteret, inklusive kundeoplysninger, krypteringsnøgler og andre IP- eller personlige oplysninger på den eksterne hukommelsesbus. Intel udviklede denne funktion til at give større beskyttelse af systemhukommelse mod hardwareangreb, såsom fjernelse og læsning af det dobbelte in-line hukommelsesmodul (DIMM) efter sprøjtning med flydende kvælstof eller installation af specialbygget angrebshardware. Ved hjælp af National Institute of Standards and Technology (NIST) lagringskrypteringsstandard AES XTS genereres en krypteringsnøgle ved hjælp af en hærdet tilfældig talgenerator i processoren uden eksponering for software. Dette gør det muligt for eksisterende software at køre umodificeret og samtidig beskytte hukommelsen bedre.
- Kryptografisk acceleration: Et af Intels designmål er at fjerne eller reducere ydelseseffekten af øget sikkerhed, så kunderne ikke behøver at vælge mellem bedre beskyttelse og acceptabel ydelse. Ice Lake introducerer adskillige nye instruktioner, der bruges i hele branchen, kombineret med algoritmiske og softwareinnovationer, der leverer banebrydende kryptografisk ydelse. Der er to grundlæggende innovationer. Den første er en teknik til at sy sammen operationerne af to algoritmer, der typisk kører i kombination, men alligevel sekventielt, så de kan udføres samtidigt. Den anden er en metode til at behandle flere uafhængige databuffere parallelt.
- Firmware modstandsdygtighed: Sofistikerede modstandere kan forsøge at kompromittere eller deaktivere platformens firmware for at opfange data eller tage serveren ned. Ice Lake introducerer Intel Platform Firmware Resilience (Intel PFR) til Intel Xeon Scalable platform for at hjælpe med at beskytte mod platform firmware angreb. Det er designet til at opdage og korrigere firmware, før de kan gå på kompromis med eller deaktivere maskinen. Intel PFR bruger en Intel FPGA som en platforms tillidsrode til at validere kritisk-til-boot platform firmwarekomponenter, før nogen firmwarekode udføres. De beskyttede firmwarekomponenter kan omfatte BIOS Flash, BMC Flash, SPI Descriptor, Intel Management Engine og firmware til strømforsyning.