«Proteggere i dati è essenziale per poterne poi estrarre valore, e con le capacità della prossima piattaforma Xeon Scalable di terza generazione aiuteremo i nostri clienti e risolvere le più complesse problematiche legate ai loro dati, migliorandone al contempo la riservatezza e l’integrità. In questo modo proseguiamo nel lungo percorso storico di partnership con il nostro ecosistema per guidare il processo di innovazione nel campo della sicurezza».
È con queste parole che Lisa Spelman, corporate vice president, Data Platform Group e general manager, Xeon and Memory Group di Intel, commenta la suite di nuove funzioni di sicurezza per la piattaforma Intel Xeon Scalable “Ice Lake”. In questo modo, Intel rafforza il proprio impegno Security First Pledge, portando diverse funzioni avanzate quali Intel Software Guard Extension (Intel SGX) a tutte le piattaforme Ice Lake, assieme a nuove funzioni che comprendono Intel Total Memory Encryption (Intel TME), Intel Platform Firmware Resilience (Intel PFR) e nuovi acceleratori crittografici che rafforzano la piattaforma a migliorano in generale la riservatezza e l’integrità dei dati.
I dati sono una risorsa fondamentale sia per il valore che possono rappresentare per l’azienda sia per le informazioni personali che devono essere protette, quindi la sicurezza informatica è estremamente importante. Le funzionalità di sicurezza di Ice Lake consentono agli utenti di Intel di sviluppare soluzioni che aiutano a migliorare la loro sicurezza e a ridurre i rischi associati alla privacy e al rispetto delle normative, come ad esempio nel caso di dati regolamentati per i servizi finanziari e quelli associati alla sanità.
Protezione dei dati su tutto lo stack
Tecnologie quali la crittografia del traffico su disco e di rete proteggono i dati nello storage e durante la trasmissione, ma questi possono essere vulnerabili all’intercettazione e alla manomissione durante l’uso in memory. Quella del “confidential computing” è una categoria di utilizzo in rapida evoluzione che protegge i dati mentre sono in uso in ambiente Trusted Execution Environment (TEE). Intel SGX è il TEE più ricercato, aggiornato e testato per l’elaborazione riservata dei data center, con la superficie di attacco più piccola all’interno del sistema. Abilita l’isolamento delle applicazioni nelle regioni di memoria privata, denominate enclave, per proteggere fino a 1 terabyte di codice e dati durante l’uso.
«Microsoft Azure è stato il primo cloud pubblico a offrire elaborazione riservata e clienti di settori quali finanza, sanità e pubblica amministrazione utilizzano oggi il confidential computing su Azure – afferma Mark Russinovich, chief technology officer di Microsoft Azure – Azure offre opzioni di confidential computing per macchine virtuali, contenitori, machine learning e altro ancora. Siamo convinti che i processori Intel Xeon di nuova generazione con Intel SGX, crittografia completa della memoria e accelerazione crittografica aiuteranno i nostri clienti a implementare scenari di confidential computing ancora più riservati».
Cifratura completa della memoria
Per proteggere meglio l’intera memoria di una piattaforma, Ice Lake introduce una nuova funzionalità denominata Intel Total Memory Encryption (Intel TME). Intel TME aiuta a garantire che tutta la memoria a cui si accede dalla CPU Intel sia crittografata, comprese le credenziali del cliente, le chiavi di crittografia e altra proprietà intellettuale o informazioni personali sul bus di memoria esterno. Intel ha sviluppato questa funzionalità per proteggere meglio la memoria di sistema da attacchi hardware quali la rimozione e la lettura del modulo DIMM (Dual In-Line Memory Module) dopo averlo irrorato con azoto liquido o avere installato hardware di attacco appositamente costruito. Utilizzando lo standard di cifratura del National Institute of Standards and Technology (NIST), AES XTS, viene generata una chiave crittografica per mezzo di un generatore di numeri casuali nel processore senza esposizione al software. Ciò consente al software esistente di funzionare senza modifiche proteggendo meglio la memoria.
Accelerazione crittografica
Uno degli obiettivi di Intel è rimuovere o ridurre l’impatto che una maggiore sicurezza può avere sulle prestazioni in modo da porre i clienti nella condizione di scegliere tra una protezione migliore e prestazioni accettabili. Ice Lake introduce diverse nuove istruzioni utilizzate in tutto il settore, insieme a innovazioni algoritmiche e software, per fornire prestazioni crittografiche rivoluzionarie. Vi sono due innovazioni fondamentali. La prima è una tecnica per unire le operazioni di due algoritmi che tipicamente sono eseguiti in combinazione ma in sequenza, consentendone l’esecuzione simultanea. Il secondo è un metodo per elaborare molteplici buffer di dati indipendenti in parallelo.
Elevata resilienza
Hacker particolarmente sofisticati potrebbero tentare di compromettere o disabilitare il firmware della piattaforma per intercettare i dati o disattivare il server. Ice Lake introduce Intel Platform Firmware Resilience (Intel PFR) nella piattaforma scalabile Intel Xeon per proteggerla dagli attacchi al firmware della piattaforma; questa funzione è progettata per rilevarli e correggerli prima che possano compromettere o disabilitare la macchina. Intel PFR utilizza un FPGA Intel come “root of trust” della piattaforma per convalidare i componenti firmware critical-to-boot della piattaforma prima che venga eseguito qualsiasi codice firmware. I componenti firmware protetti possono includere BIOS Flash, BMC Flash, SPI Descriptor, Intel Management Engine e firmware di alimentazione.
