جستجو
شروع تایپ و زدن اینتر برای جستجو

نوآوری امنیتی Intel SGX در سرورهای HPE G10

یکی از شاخص‌های مهم برای خرید سرور مناسب کسب و کار خود توجه به ویژگی‌های فنی خاص و روزآمد‌شده‌ سرور مدنظر است. پیشتر در مورد سرورهای نسل ۱۰ کمپانی HPE صحبت کردیم همانطور که اشاره شد یک ویژگی منحصربه‌فرد سرورهای DL380 G10 plus تجهیز آنها به قابلیت SGX یا Software Guard Extensions است. چنانچه نیازمند امنیت بیشتر برای Workload های خاص و مشخص مجهز به اپلیکیشن‌های مدیریت داده هستید در این پست همراه ما باشید تا تکنولوژي SGX را به‌طور کامل بررسی کنیم. 

نوآوری امنیتی Intel SGX در نسل سوم پردازنده‌های مقیاس‌پذیر اینتل

 

یکی از دلایل پیشنهاد خرید سرورهای مجهز به پردازنده‌های نسل سوم Intel Xeon Scalable توجه ویژه آنها به تکنولوژی‌های پیشرفته در رابطه با امنیت Workload ها در معماری Ice Lake است. قابلیت Intel SGX در سرورهای مجهز به معماری Ice Lake، همراه با تکنولوژی‌های جدید Intel® Total Memory Encryption، Intel® Platform Firmware Resilience برای رفع مهمترین دغدغه محافظت از اطلاعات ارائه شده است. به این ترتیب رویکرد اینتل برای ایجاد نوآوری‌های مداوم برای بهبود محرمانه بودن و یکپارچگی اطلاعات مشهود می‌شود. 

در رویداد ۱۴ اکتبر ۲۰۲۰، شرکت اینتل به‌صورت رسمی از ویژگی‌های امنیتی جدید برای معماری پردازنده‌های نسل سوم Intel Xeon Scalable، با نام Ice Lake رونمایی کرد. اینتل اعلام کرد Security First Pledge را در پردازنده‌های خود دو برابر کرده است و  قابلیت SGX خود را در طیف وسیعی از پلتفرم‌های Ice Lake با ویژگی‌های جدیدی مانند Intel TME، Intel PFR و cryptographic accelerator ها برای تقویت پلتفرم و بهبود محرمانه بودن و یکپارچگی داده‌ها ارائه می‌دهد.

ویژگی‌های امنیتی در ریزپردازنده‌های Ice Lake کاربران اینتل را قادر ساخته است راهکارهایی را برای بهبود وضعیت امنیتی و کاهش خطرات مرتبط با حفظ حریم خصوصی و رعایت امنیت داده‌های مالی یا بهداشتی ایجاد کنند. فناوری‌هایی مانند رمزگذاری ترافیک دیسک و شبکه، از داده‌ها هنگام ذخیره‌سازی و انتقال محافظت می‌کنند، اما داده‌ها ممکن است در هنگام استفاده در حافظه آسیب‌پذیر باشند. محاسبات محرمانه یا “Confidential computing” از داده‌ها هنگام استفاده در یک محیط اجرایی قابل اعتماد یا Trusted Execution Environment محافظت می‌کند. 

اینتل SGX جدید‌ترین و مطمئن‌ترین محیط TEE برای محاسبات محرمانه مرکز داده، با کوچک‌ترین احتمال حمله در داخل سیستم است. این امکان برای پردازنده‌های نسل سوم اینتل زئون فراهم شد تا ایزوله کردن اپلیکیشن در محیط private memory برای کمک به محافظت از حداکثر ۱ ترابایت کد و داده در حال استفاده، فراهم شود که به آن Enclave گفته می‌شود.

محاسبات محرمانه یا Confidential computing یک رده جدید، کاربردی است که از دیتای در حال استفاده در محیط‌های TEE محافظت می‌کند. مایکروسافت آزور(Microsoft Azure) در سال ۲۰۱۷ اعلام کرد که اولین فضای ابر عمومی بزرگ در جهان است که  قابلیت‌های جدید امنیت داده را با مجموعه‌ای از ویژگی‌ها و خدمات به‌ نام محاسبات محرمانه (Confidential computing) ارائه می‌دهد. 

چیزی که تا به امروز در ابرهای عمومی وجود نداشته رمزگذاری داده‌ها در حین استفاده بود که Microsoft Azure با استفاده از Intel SGX از طریق ایزوله کردن داده‌های حساس یا کلیدهای رمزنگاری ارائه کرد. این بدان معنی است که داده‌ها را می‌توان در فضای ابری با اطمینان از کنترل دائمی توسط مشتری پردازش کرد که باعث افزایش امنیت می‌شود. مشتریان مختلف حوزه‌های مالی، سازمان‌های بهداشت و درمان و دولت امروزه از محاسبات محرمانه Azure استفاده می‌کنند.

Azure دارای گزینه‌های محاسباتی محرمانه برای ماشین‌های مجازی، کانتینرها، یادگیری ماشینی و موارد دیگر است. هدف محاسبات محرمانه Azure محافظت از داده‌ها در حین پردازش در فضای ابری است. Intel SGX به Microsoft Azure کمک می‌کند تا حریم خصوصی و امنیت مشتری را برای پردازش تراکنش‌های بلاک چین، قراردادهای هوشمند و ذخیره‌سازی کلیدی افزایش دهد. به این ترتیب پردازنده‌های Xeon اینتل با فناوری SGX به مشتریان کمک خواهند کرد سناریوهای محاسباتی محرمانه‌تری را داشته باشند. در ادامه همراه ما باشید تا به‌تفصیل قابلیت SGX را بررسی کنیم. 

تکنولوژی SGX چیست؟

تکنولوژی (SGX) مخفف Intel Software Guard Extensions یک ابزار منبع باز اینتل برای محافظت از سورس‌کد اپلیکیشن‌ها است. SGX به دستورالعمل‌های امنیتی گفته می‌شود که در CPUهای مبتنی بر x86  اینتل ساخته شده است و به توسعه‌دهندگان  کمک می‌کند حافظه رایانه و سرور را به Enclaves تقسیم کنند، که مناطق خصوصی و از پیش تعریف‌شده در حافظه هستند که می‌توانند بهتر از اطلاعات حساس کاربران محافظت کنند( مانند سوابق پزشکی، سوابق مالی، رمزهای عبور، کلیدهای رمزگذاری، فاکتورهای شناسایی بیومتریک). با استفاده از این فناوری، محرمانگی اطلاعات حساس حفظ می‌شود و توسعه‌دهندگان نرم‌افزار با امنیتی بیشتر به‌روزرسانی نرم‌افزارهای خود را ارائه می‌دهند.

بنابراین با تولید SGX داده‌های کاربران حین ارسال و یا پردازش دیتا ایمن‌سازی می‌شود. این قابلیت سازمان‌ها را قادر می‌کند تا از سخت‌ترین سیاست‌های نظارتی خود بدون به خطر انداختن داده‌ها پیروی کنند. 

SGX  فضای امنی برای کاربران سرویس محاسبات از راه دور فراهم می‌کند و آنها محاسبات و داده‌های مدنظر را در آن فضا بارگذاری می‌کنند و از محرمانه‌بودن و یکپارچگی داده‌ها در حالی که محاسبات روی آن انجام می‌شود محافظت می‌شود.

این اِستک نرم‌افزاری اپن‌سورس از Intel(R) SGX SDK و همچنین Intel(R) SGX Platform Software تشکیل شده است به‌طوری که SDK این ابزار مجموعهٔ متنوعی از مستندات، کدهای آماده، ابزارها و لایبرری‌های توسعهٔ نرم‌افزار است که با استفاده از آن‌ها توسعه‌دهندگان می‌توانند برنامه‌هایی با زبان‌های C و ++C توسعه دهند که در آن‌ها از تکنولوژی SGX استفاده شده باشد.

 SGX ابتدا در سال ۲۰۱۵ در پردازنده‌های Core نسل ششم اینتل و پردازنده‌های سرور Xeon E3 v6 معرفی شد و امروزه  در پردازنده‌های نسل سوم اینتل زئون همراه با سرورهای HPE Gen10 plus  عرضه شده‌ است.

 تکنولوژی SGX کاربرد گسترده‌ای در صنایع مختلف دارد. تمام برنامه‌های نظامی، تجاری و صنعتی که به سرورها و سیستم‌های کاری با CPU های اینتل متکی هستند به این فناوری دسترسی دارند واین تکنولوژی مختص هیچ صنعت خاصی نیست.

پردازنده‌های مقیاس‌پذیر Xeon که از سال ۲۰۱۵ به بازار عرضه شدند مانند Intel® Xeon® E-2288G، Intel® Xeon® Gold 6326 و Intel® Xeon® Platinum 8352Y و همچنین اکثر دستگاه‌های دسکتاپ و موبایل با پردازنده‌های نسل ششم Intel Core از SGX پشتیبانی می‌کنند. 

عملکرد تکنولوژی SGX در سرورهای HPE

همانطور که گفته شد Intel SGX مجموعه‌ای از دستورالعمل‌های امنیتی است که با ایجاد یک محیط اجرایی قابل اعتماد در حافظه درجه بیشتری از محافظت در برابر تهدیدات امنیت سایبری، افشا یا تغییر داده‌ها را به کاربران ارائه می‌دهد.  

بنابراین، اگر بدافزار پیچیده، به لایه‌های OS، BIOS، VMM یا SMM حمله کند، Intel SGX با ارائه یک لایه حفاظتی اضافی و قرار دادن داده‌های حساس در یک بخش ایزوله و رمزگذاری‌شده از داده‌ها محافظت می‌کند(در تصویر زیر لایه حفاظتی با دیوار آبی مشخص شده است). بنابراین، این لایه‌ها ممکن است به خطر بیفتند، اما داده‌های کاربران همچنان محافظت می‌شوند، زیرا داده‌های ذخیره‌ و ایزوله‌شده برای طرف‌های خارجی و غیرتایید قابل دسترسی نیست در نهایت از تخریب، دستکاری یا ویرایش توسط کاربران غیرمجاز در امان هستند. 

عملکرد تکنولوژی SGX
عملکرد تکنولوژی SGX

اما اینتل SGX چگونه داده‌ها را ایزوله می‌کند؟ برای پاسخ در ادامه مقاله همراه ما باشید.

در زمان اجرا، برنامه به دو بخش تقسیم می‌شود: بخش ایمن و بخش غیرایمن.

۱. هنگامی که برنامه راه‌اندازی شد، enclave ایجاد می‌شود و در قسمت محافظت‌شده با امکان ورود/خروج محدود که توسط توسعه‌دهنده تعریف شده است، قرار می‌گیرد.

۲. کد محصور و داده‌های داخل محیط CPU به‌صورت شفاف اجرا می‌شوند، و داده‌های محصور نوشته‌شده در حافظه رمزگذاری و یکپارچگی آن بررسی می‌شود، بنابراین تا حدی اطمینان حاصل می‌شود که هیچ دسترسی غیرمجاز یا ردیابی حافظه به داخل محفظه رخ نمی‌دهد.

۳. زمانی که تابع enclave فراخوانی شد، فقط کد درون enclave می‌تواند داده‌های آن را ببیند و دسترسی‌های خارجی ممنوع هستند و هنگام بازگشت، داده‌های محصور در حافظه محافظت‌شده باقی می‌مانند.

توجه داشته باشید قبل از اینکه یک برنامه بتواند از Intel SGX استفاده کند، باید مجهز به موارد زیر باشد:

  • پردازنده‌های سرور یا ورک استیشن باید دستورالعمل‌های Intel SGX را پشتیبانی کنند (این امکان برای سرور‌های HPE نسل ۱۰+ به بعد موجود است).
  • BIOS ها باید از Intel SGX  پشتیبانی کنند.
  • BIOS ها باید Intel SGX را فعال کرده باشند (ازهمین طریق می‌توانید SGX را غیرفعال کنید)
  • نرم‌افزار پلتفرم SGX اینتل باید روی سرورها یا ایستگاه‌های کاری نصب شود.

در هیچ شرایطی Intel SGX را غیرفعال نکنید. زیرا سیستم شما هیچ برنامه کاربردی یا محافظت از داده‌ای را نمی‌تواند پشتیبانی کند و  حتی نمی‌توانید نرم‌افزار پلتفرم Intel SGX را نصب کنید.

جمع‌بندی

 

تغییرات و پیشرفت‌های چشم‌گیری در عملکرد سرورها همراه با تحول قابلیت‌های امنیتی تا به امروز ایجاد شده است. فناوری SGX در نسل سوم پردازنده‌های مقیاس‌پذیراینتل  در رابطه با امنیت Workload ها در معماری Ice Lake برای محافظت از داده‌ها ارائه شده است. در این مقاله راه‌کار امنیتی Intel SGX و عملکرد آن به‌طور تخصصی شرح داده شد. علی‌رغم برخی گزارش‌ها مبنی بر آسیب پذیری‌ SGX اینتل توسط محققان و پژوهشگران حوزه امنیت شبکه‌ها،  امکان ایمن کردن نسل‌های آتی پردازنده‌های اینتل وجود دارد که شامل قرنطینه کردن بهتر فضای SGX  است. برخی از راه‌حل‌های پیشنهاد‌شده بی‌نیاز از تغییر در سطح سخت‌افزار هستند. به این ترتیب پردازنده‌های Xeon اینتل با فناوری SGX به مشتریان کمک خواهند کرد عملکردهای محاسباتی محرمانه‌تری داشته باشند.

شرکت ارمغان اشراق به‌عنوان یکی از تامین‌کنندگان سرورهای HPE در کنار کادر متخصص و مجرب خود آماده پاسخگویی به نیازهای خرید و یا مشاوره برای انتخاب سرور مناسب کسب و کار شما است. 

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

جدول محتوا

توانمندسازی مدیریت داده‌ها
توانمندسازی مدیریت داده‌ها
بررسی رید کنترلرها در سرورهای HPE G10
بررسی رید کنترلرها در سرورهای HPE G10
نگاهی به پرفروش‌ترین سرور‌های G10 کمپانی HPE
نگاهی به پرفروش‌ترین سرور‌های G10 کمپانی HPE
نسل 4 پردازنده‌ها
نسل 4 پردازنده‌ها
Verified by MonsterInsights