Carichi di lavoro sensibili, nuova piattaforma Intel Xeon Scalable

Nuovi elementi di sicurezza comprendono Intel SGX, cifratura della memoria e resilienza del firmware.

Carichi di lavoro sensibili

Intel annuncia oggi una suite di sicurezza per la piattaforma per carichi di lavoro sensibili Intel Xeon Scalable di prossimo lancio. Nome in codice “Ice Lake”. Intel rafforza il proprio impegno Security First Pledge, portando apprezzate funzioni avanzate quali Intel Software Guard Extension (Intel SGX) a tutte le piattaforme Ice Lake. Insieme a nuove funzioni che comprendono Intel Total Memory Encryption (Intel TME), Intel Platform Firmware Resilience (Intel PFR). Oltre a nuovi acceleratori crittografici che rafforzano la piattaforma a migliorano in generale la riservatezza e l’integrità dei dati.

Carichi di lavoro sensibili

I dati sono una risorsa fondamentale sia per il valore che possono rappresentare per l’azienda sia per le informazioni personali che devono essere protette, quindi la sicurezza informatica è estremamente importante. Le funzionalità di sicurezza di Ice Lake consentono agli utenti di Intel di sviluppare soluzioni che aiutano a migliorare la loro sicurezza e a ridurre i rischi associati alla privacy e al rispetto delle normative, come ad esempio nel caso di dati regolamentati per i servizi finanziari e quelli associati alla sanità.

Protezione dei dati su tutto lo stack

Tecnologie quali la crittografia del traffico su disco e di rete proteggono i dati nello storage e durante la trasmissione, ma questi possono essere vulnerabili all’intercettazione e alla manomissione durante l’uso in memory. Quella del “confidential computing” è una categoria di utilizzo in rapida evoluzione che protegge i dati mentre sono in uso in ambiente Trusted Execution Environment (TEE). Intel SGX è il TEE più ricercato, aggiornato e testato per l’elaborazione riservata dei data center, con la superficie di attacco più piccola all’interno del sistema. Abilita l’isolamento delle applicazioni nelle regioni di memoria privata, denominate enclave, per proteggere fino a 1 terabyte di codice e dati durante l’uso.

Cifratura completa della memoria

Per proteggere meglio l’intera memoria di una piattaforma, Ice Lake introduce una nuova funzionalità denominata Intel Total Memory Encryption (Intel TME). Intel TME aiuta a garantire che tutta la memoria a cui si accede dalla CPU Intel sia crittografata, comprese le credenziali del cliente, le chiavi di crittografia e altra proprietà intellettuale o informazioni personali sul bus di memoria esterno.

Carichi di lavoro sensibili

Intel ha sviluppato questa funzionalità per proteggere meglio la memoria di sistema da attacchi hardware quali la rimozione e la lettura del modulo DIMM (Dual In-Line Memory Module) dopo averlo irrorato con azoto liquido o avere installato hardware di attacco appositamente costruito. Utilizzando lo standard di cifratura del National Institute of Standards and Technology (NIST), AES XTS, viene generata una chiave crittografica per mezzo di un generatore di numeri casuali nel processore senza esposizione al software. Ciò consente al software esistente di funzionare senza modifiche proteggendo meglio la memoria.

Accelerazione crittografica

Uno degli obiettivi di Intel è rimuovere o ridurre l’impatto che una maggiore sicurezza può avere sulle prestazioni. In modo da porre i clienti nella condizione di scegliere tra una protezione migliore e prestazioni accettabili. Ice Lake introduce diverse nuove istruzioni utilizzate in tutto il settore, insieme a innovazioni algoritmiche e software, per fornire prestazioni crittografiche rivoluzionarie. Vi sono due innovazioni fondamentali. La prima è una tecnica per unire le operazioni di due algoritmi che tipicamente sono eseguiti in combinazione ma in sequenza, consentendone l’esecuzione simultanea. Il secondo è un metodo per elaborare molteplici buffer di dati indipendenti in parallelo.

Carichi di lavoro sensibili. Elevata resilienza

Hacker particolarmente sofisticati potrebbero tentare di compromettere o disabilitare il firmware della piattaforma per intercettare i dati o disattivare il server. Ice Lake introduce Intel Platform Firmware Resilience (Intel PFR) nella piattaforma scalabile Intel Xeon per proteggerla dagli attacchi al firmware della piattaforma; questa funzione è progettata per rilevarli e correggerli prima che possano compromettere o disabilitare la macchina. Intel PFR utilizza un FPGA Intel come “root of trust” della piattaforma per convalidare i componenti firmware critical-to-boot della piattaforma prima che venga eseguito qualsiasi codice firmware. I componenti firmware protetti possono includere BIOS Flash, BMC Flash, SPI Descriptor, Intel Management Engine e firmware di alimentazione.

Piattaforme affidabili in grado di proteggere la privacy nei prossimi processori Xeon Scalable di terza generazione aiuteranno a realizzare servizi, modelli di utilizzo e soluzioni ancora più innovative per le organizzazioni che desiderano trarre il massimo valore dai propri dati.