Intel Ice Lake-SP Xeon server-grade CPU's krijgen meerdere beveiligings- en gegevensbeschermingsfuncties die voor consumenten kunnen doorsijpelen
Intel heeft verschillende beveiligingsgerelateerde innovaties aangekondigd die nu deel uitmaken van de Ice Lake CPU-architectuur. Als onderdeel van de Security First Pledge heeft Intel technologieën zoals Intel SGX, Memory Encryption, Firmware Resilience en Breakthrough Cryptographic Accelerators opgenomen in de 3rd-Gen Intel Xeon CPU's.
De aanstaande 3rd Generatie Intel Xeon schaalbaar platform, codenaam "Ice Lake", zal verschillende technologieën hebben die samenwerken om gevoelige werklasten te beschermen. Deze nieuwe innovaties moeten nieuwe mogelijkheden bieden om te werken met gevoelige datapakketten die moeten worden beveiligd tegen hedendaagse bedreigingen. Hoewel de Intel Software Guard-uitbreidingen nu beschikbaar zijn voor het volume-mainstream-serverplatform met de Ice Lake-generatie van CPU's, zijn er drie andere technologieën die de beveiliging en bescherming van enorme hoeveelheden gegevens die elke dag worden verwerkt, verbeteren.
De hele reeks Ice Lake-platforms krijgt verschillende nieuwe technologieën voor gegevensbeveiliging en -bescherming:
Naast de Intel Software Guard Extension (Intel SGX), de komende 3rd-Gen Ice Lake-SP CPU's die deel zullen uitmaken van de Xeon Server-grade processors zullen nieuwe functies hebben, waaronder Intel Total Memory Encryption (Intel TME), Intel Platform Firmware Resilience (Intel PFR) en nieuwe cryptografische versnellers. Samen moeten deze technologieën de algehele vertrouwelijkheid en integriteit van gegevens die in servers in alle stadia worden verwerkt, versterken.
Intel zorgt ervoor dat de beveiligingsfuncties in Ice Lake de klanten van het bedrijf in staat stellen oplossingen te ontwikkelen die hun beveiligingshouding helpen verbeteren en risico's met betrekking tot privacy en compliance verminderen, zoals gereguleerde gegevens in financiële diensten en gezondheidszorg.
Standaardtechnologieën zoals versleuteling van schijf- en netwerkverkeer beschermen doorgaans gegevens in opslag en tijdens verzending. Gegevens kunnen echter kwetsbaar zijn voor onderschepping en manipulatie terwijl ze in het geheugen worden gebruikt. De Intel SGX is een Trusted Execution Environment (TEE) die toepassingsisolatie mogelijk maakt in privégeheugenregio's, enclaves genaamd, om tot 1 terabyte aan code en gegevens tijdens gebruik te beschermen.
Nieuwe Intel-beveiligingsgerichte technologieën die zullen worden ingebed in de 3rd-Gen Ice Lake Xeon Server-Grade CPU's:
Intel heeft een persbericht uitgebracht waarin de nieuwe technologieën worden genoemd die zullen worden ingebed in de nieuwe Xeon-CPU's. Deze technologieën beschermen de gegevens in wezen niet alleen terwijl ze op opslagapparaten rusten en tijdens de verwerking, maar ook tijdens de overgang van CPU naar RAM en andere gebieden. Ze moeten in staat zijn om gegevens te beschermen, zelfs als een kwaadwillende dreiging in staat is om onbewerkte geheugendumps te verkrijgen van gecompromitteerde systemen. Hieronder volgt een korte beschrijving van elk van de technologieën.
- Volledige geheugencodering: Om het volledige geheugen van een platform beter te beschermen, introduceert Ice Lake een nieuwe functie genaamd Intel Total Memory Encryption (Intel TME). Intel TME helpt ervoor te zorgen dat al het geheugen dat toegankelijk is vanaf de Intel-CPU versleuteld is, inclusief klantreferenties, versleutelingssleutels en andere IP- of persoonlijke informatie op de externe geheugenbus. Intel heeft deze functie ontwikkeld om het systeemgeheugen beter te beschermen tegen hardwareaanvallen, zoals het verwijderen en uitlezen van de dual in-line memory module (DIMM) nadat deze is besproeid met vloeibare stikstof of het installeren van speciaal gebouwde aanvalshardware. Met behulp van de opslagcoderingsstandaard AES XTS van het National Institute of Standards and Technology (NIST) wordt een coderingssleutel gegenereerd met behulp van een geharde generator voor willekeurige getallen in de processor zonder blootstelling aan software. Hierdoor kan bestaande software ongewijzigd worden uitgevoerd en wordt het geheugen beter beschermd.
- Cryptografische versnelling: Een van de ontwerpdoelen van Intel is om de prestatie-impact van verhoogde beveiliging weg te nemen of te verminderen, zodat klanten niet hoeven te kiezen tussen betere bescherming en acceptabele prestaties. Ice Lake introduceert verschillende nieuwe instructies die in de hele industrie worden gebruikt, in combinatie met algoritmische en software-innovaties, om baanbrekende cryptografische prestaties te leveren. Er zijn twee fundamentele innovaties. De eerste is een techniek om de bewerkingen van twee algoritmen samen te voegen die doorgaans in combinatie en toch opeenvolgend worden uitgevoerd, zodat ze tegelijkertijd kunnen worden uitgevoerd. De tweede is een methode om meerdere onafhankelijke gegevensbuffers parallel te verwerken.
- Firmware-veerkracht: Geavanceerde tegenstanders kunnen proberen de firmware van het platform te compromitteren of uit te schakelen om gegevens te onderscheppen of de server uit te schakelen. Ice Lake introduceert Intel Platform Firmware Resilience (Intel PFR) in het Intel Xeon Scalable-platform om te helpen beschermen tegen platformfirmware-aanvallen. Het is ontworpen om firmware te detecteren en te corrigeren voordat ze de machine kunnen compromitteren of uitschakelen. Intel PFR gebruikt een Intel FPGA als vertrouwensbasis voor het platform om kritieke platformfirmwarecomponenten te valideren voordat er firmwarecode wordt uitgevoerd. De beveiligde firmwarecomponenten kunnen BIOS Flash, BMC Flash, SPI Descriptor, Intel Management Engine en voedingsfirmware omvatten.