یکی از شاخصهای مهم برای خرید سرور مناسب کسب و کار خود توجه به ویژگیهای فنی خاص و روزآمدشده سرور مدنظر است. پیشتر در مورد سرورهای نسل ۱۰ کمپانی HPE صحبت کردیم همانطور که اشاره شد یک ویژگی منحصربهفرد سرورهای DL380 G10 plus تجهیز آنها به قابلیت SGX یا Software Guard Extensions است. چنانچه نیازمند امنیت بیشتر برای Workload های خاص و مشخص مجهز به اپلیکیشنهای مدیریت داده هستید در این پست همراه ما باشید تا تکنولوژي SGX را بهطور کامل بررسی کنیم.
نوآوری امنیتی Intel SGX در نسل سوم پردازندههای مقیاسپذیر اینتل
یکی از دلایل پیشنهاد خرید سرورهای مجهز به پردازندههای نسل سوم Intel Xeon Scalable توجه ویژه آنها به تکنولوژیهای پیشرفته در رابطه با امنیت Workload ها در معماری Ice Lake است. قابلیت Intel SGX در سرورهای مجهز به معماری Ice Lake، همراه با تکنولوژیهای جدید Intel® Total Memory Encryption، Intel® Platform Firmware Resilience برای رفع مهمترین دغدغه محافظت از اطلاعات ارائه شده است. به این ترتیب رویکرد اینتل برای ایجاد نوآوریهای مداوم برای بهبود محرمانه بودن و یکپارچگی اطلاعات مشهود میشود.
در رویداد ۱۴ اکتبر ۲۰۲۰، شرکت اینتل بهصورت رسمی از ویژگیهای امنیتی جدید برای معماری پردازندههای نسل سوم Intel Xeon Scalable، با نام Ice Lake رونمایی کرد. اینتل اعلام کرد Security First Pledge را در پردازندههای خود دو برابر کرده است و قابلیت SGX خود را در طیف وسیعی از پلتفرمهای Ice Lake با ویژگیهای جدیدی مانند Intel TME، Intel PFR و cryptographic accelerator ها برای تقویت پلتفرم و بهبود محرمانه بودن و یکپارچگی دادهها ارائه میدهد.
ویژگیهای امنیتی در ریزپردازندههای Ice Lake کاربران اینتل را قادر ساخته است راهکارهایی را برای بهبود وضعیت امنیتی و کاهش خطرات مرتبط با حفظ حریم خصوصی و رعایت امنیت دادههای مالی یا بهداشتی ایجاد کنند. فناوریهایی مانند رمزگذاری ترافیک دیسک و شبکه، از دادهها هنگام ذخیرهسازی و انتقال محافظت میکنند، اما دادهها ممکن است در هنگام استفاده در حافظه آسیبپذیر باشند. محاسبات محرمانه یا “Confidential computing” از دادهها هنگام استفاده در یک محیط اجرایی قابل اعتماد یا Trusted Execution Environment محافظت میکند.
اینتل SGX جدیدترین و مطمئنترین محیط TEE برای محاسبات محرمانه مرکز داده، با کوچکترین احتمال حمله در داخل سیستم است. این امکان برای پردازندههای نسل سوم اینتل زئون فراهم شد تا ایزوله کردن اپلیکیشن در محیط private memory برای کمک به محافظت از حداکثر ۱ ترابایت کد و داده در حال استفاده، فراهم شود که به آن Enclave گفته میشود.
محاسبات محرمانه یا Confidential computing یک رده جدید، کاربردی است که از دیتای در حال استفاده در محیطهای TEE محافظت میکند. مایکروسافت آزور(Microsoft Azure) در سال ۲۰۱۷ اعلام کرد که اولین فضای ابر عمومی بزرگ در جهان است که قابلیتهای جدید امنیت داده را با مجموعهای از ویژگیها و خدمات به نام محاسبات محرمانه (Confidential computing) ارائه میدهد.
چیزی که تا به امروز در ابرهای عمومی وجود نداشته رمزگذاری دادهها در حین استفاده بود که Microsoft Azure با استفاده از Intel SGX از طریق ایزوله کردن دادههای حساس یا کلیدهای رمزنگاری ارائه کرد. این بدان معنی است که دادهها را میتوان در فضای ابری با اطمینان از کنترل دائمی توسط مشتری پردازش کرد که باعث افزایش امنیت میشود. مشتریان مختلف حوزههای مالی، سازمانهای بهداشت و درمان و دولت امروزه از محاسبات محرمانه Azure استفاده میکنند.
Azure دارای گزینههای محاسباتی محرمانه برای ماشینهای مجازی، کانتینرها، یادگیری ماشینی و موارد دیگر است. هدف محاسبات محرمانه Azure محافظت از دادهها در حین پردازش در فضای ابری است. Intel SGX به Microsoft Azure کمک میکند تا حریم خصوصی و امنیت مشتری را برای پردازش تراکنشهای بلاک چین، قراردادهای هوشمند و ذخیرهسازی کلیدی افزایش دهد. به این ترتیب پردازندههای Xeon اینتل با فناوری SGX به مشتریان کمک خواهند کرد سناریوهای محاسباتی محرمانهتری را داشته باشند. در ادامه همراه ما باشید تا بهتفصیل قابلیت SGX را بررسی کنیم.
تکنولوژی SGX چیست؟
تکنولوژی (SGX) مخفف Intel Software Guard Extensions یک ابزار منبع باز اینتل برای محافظت از سورسکد اپلیکیشنها است. SGX به دستورالعملهای امنیتی گفته میشود که در CPUهای مبتنی بر x86 اینتل ساخته شده است و به توسعهدهندگان کمک میکند حافظه رایانه و سرور را به Enclaves تقسیم کنند، که مناطق خصوصی و از پیش تعریفشده در حافظه هستند که میتوانند بهتر از اطلاعات حساس کاربران محافظت کنند( مانند سوابق پزشکی، سوابق مالی، رمزهای عبور، کلیدهای رمزگذاری، فاکتورهای شناسایی بیومتریک). با استفاده از این فناوری، محرمانگی اطلاعات حساس حفظ میشود و توسعهدهندگان نرمافزار با امنیتی بیشتر بهروزرسانی نرمافزارهای خود را ارائه میدهند.
بنابراین با تولید SGX دادههای کاربران حین ارسال و یا پردازش دیتا ایمنسازی میشود. این قابلیت سازمانها را قادر میکند تا از سختترین سیاستهای نظارتی خود بدون به خطر انداختن دادهها پیروی کنند.
SGX فضای امنی برای کاربران سرویس محاسبات از راه دور فراهم میکند و آنها محاسبات و دادههای مدنظر را در آن فضا بارگذاری میکنند و از محرمانهبودن و یکپارچگی دادهها در حالی که محاسبات روی آن انجام میشود محافظت میشود.
این اِستک نرمافزاری اپنسورس از Intel(R) SGX SDK و همچنین Intel(R) SGX Platform Software تشکیل شده است بهطوری که SDK این ابزار مجموعهٔ متنوعی از مستندات، کدهای آماده، ابزارها و لایبرریهای توسعهٔ نرمافزار است که با استفاده از آنها توسعهدهندگان میتوانند برنامههایی با زبانهای C و ++C توسعه دهند که در آنها از تکنولوژی SGX استفاده شده باشد.
SGX ابتدا در سال ۲۰۱۵ در پردازندههای Core نسل ششم اینتل و پردازندههای سرور Xeon E3 v6 معرفی شد و امروزه در پردازندههای نسل سوم اینتل زئون همراه با سرورهای HPE Gen10 plus عرضه شده است.
تکنولوژی SGX کاربرد گستردهای در صنایع مختلف دارد. تمام برنامههای نظامی، تجاری و صنعتی که به سرورها و سیستمهای کاری با CPU های اینتل متکی هستند به این فناوری دسترسی دارند واین تکنولوژی مختص هیچ صنعت خاصی نیست.
پردازندههای مقیاسپذیر Xeon که از سال ۲۰۱۵ به بازار عرضه شدند مانند Intel® Xeon® E-2288G، Intel® Xeon® Gold 6326 و Intel® Xeon® Platinum 8352Y و همچنین اکثر دستگاههای دسکتاپ و موبایل با پردازندههای نسل ششم Intel Core از SGX پشتیبانی میکنند.
عملکرد تکنولوژی SGX در سرورهای HPE
همانطور که گفته شد Intel SGX مجموعهای از دستورالعملهای امنیتی است که با ایجاد یک محیط اجرایی قابل اعتماد در حافظه درجه بیشتری از محافظت در برابر تهدیدات امنیت سایبری، افشا یا تغییر دادهها را به کاربران ارائه میدهد.
بنابراین، اگر بدافزار پیچیده، به لایههای OS، BIOS، VMM یا SMM حمله کند، Intel SGX با ارائه یک لایه حفاظتی اضافی و قرار دادن دادههای حساس در یک بخش ایزوله و رمزگذاریشده از دادهها محافظت میکند(در تصویر زیر لایه حفاظتی با دیوار آبی مشخص شده است). بنابراین، این لایهها ممکن است به خطر بیفتند، اما دادههای کاربران همچنان محافظت میشوند، زیرا دادههای ذخیره و ایزولهشده برای طرفهای خارجی و غیرتایید قابل دسترسی نیست در نهایت از تخریب، دستکاری یا ویرایش توسط کاربران غیرمجاز در امان هستند.
اما اینتل SGX چگونه دادهها را ایزوله میکند؟ برای پاسخ در ادامه مقاله همراه ما باشید.
در زمان اجرا، برنامه به دو بخش تقسیم میشود: بخش ایمن و بخش غیرایمن.
۱. هنگامی که برنامه راهاندازی شد، enclave ایجاد میشود و در قسمت محافظتشده با امکان ورود/خروج محدود که توسط توسعهدهنده تعریف شده است، قرار میگیرد.
۲. کد محصور و دادههای داخل محیط CPU بهصورت شفاف اجرا میشوند، و دادههای محصور نوشتهشده در حافظه رمزگذاری و یکپارچگی آن بررسی میشود، بنابراین تا حدی اطمینان حاصل میشود که هیچ دسترسی غیرمجاز یا ردیابی حافظه به داخل محفظه رخ نمیدهد.
۳. زمانی که تابع enclave فراخوانی شد، فقط کد درون enclave میتواند دادههای آن را ببیند و دسترسیهای خارجی ممنوع هستند و هنگام بازگشت، دادههای محصور در حافظه محافظتشده باقی میمانند.
توجه داشته باشید قبل از اینکه یک برنامه بتواند از Intel SGX استفاده کند، باید مجهز به موارد زیر باشد:
- پردازندههای سرور یا ورک استیشن باید دستورالعملهای Intel SGX را پشتیبانی کنند (این امکان برای سرورهای HPE نسل ۱۰+ به بعد موجود است).
- BIOS ها باید از Intel SGX پشتیبانی کنند.
- BIOS ها باید Intel SGX را فعال کرده باشند (ازهمین طریق میتوانید SGX را غیرفعال کنید)
- نرمافزار پلتفرم SGX اینتل باید روی سرورها یا ایستگاههای کاری نصب شود.
در هیچ شرایطی Intel SGX را غیرفعال نکنید. زیرا سیستم شما هیچ برنامه کاربردی یا محافظت از دادهای را نمیتواند پشتیبانی کند و حتی نمیتوانید نرمافزار پلتفرم Intel SGX را نصب کنید.
جمعبندی
تغییرات و پیشرفتهای چشمگیری در عملکرد سرورها همراه با تحول قابلیتهای امنیتی تا به امروز ایجاد شده است. فناوری SGX در نسل سوم پردازندههای مقیاسپذیراینتل در رابطه با امنیت Workload ها در معماری Ice Lake برای محافظت از دادهها ارائه شده است. در این مقاله راهکار امنیتی Intel SGX و عملکرد آن بهطور تخصصی شرح داده شد. علیرغم برخی گزارشها مبنی بر آسیب پذیری SGX اینتل توسط محققان و پژوهشگران حوزه امنیت شبکهها، امکان ایمن کردن نسلهای آتی پردازندههای اینتل وجود دارد که شامل قرنطینه کردن بهتر فضای SGX است. برخی از راهحلهای پیشنهادشده بینیاز از تغییر در سطح سختافزار هستند. به این ترتیب پردازندههای Xeon اینتل با فناوری SGX به مشتریان کمک خواهند کرد عملکردهای محاسباتی محرمانهتری داشته باشند.
شرکت ارمغان اشراق بهعنوان یکی از تامینکنندگان سرورهای HPE در کنار کادر متخصص و مجرب خود آماده پاسخگویی به نیازهای خرید و یا مشاوره برای انتخاب سرور مناسب کسب و کار شما است.