CPU cấp máy chủ Intel Ice Lake-SP Xeon có được nhiều tính năng bảo mật và bảo vệ dữ liệu có thể đánh lừa người tiêu dùng
Intel đã công bố một số đổi mới liên quan đến bảo mật hiện là một phần của Kiến trúc CPU Ice Lake. Là một phần của Cam kết đầu tiên về bảo mật, Intel đã kết hợp các công nghệ như Intel SGX, Mã hóa bộ nhớ, Khả năng phục hồi chương trình cơ sở và Bộ tăng tốc mật mã đột phá trong 3rd-Gen CPU Intel Xeon.
Các sắp tới 3rd Nền tảng Intel Xeon có thể mở rộng thế hệ, có tên mã là “Ice Lake” sẽ có một số công nghệ làm việc cùng nhau để bảo vệ khối lượng công việc nhạy cảm. Những cải tiến mới này sẽ cho phép các con đường mới hoạt động với các gói dữ liệu nhạy cảm phải được bảo mật trước các mối đe dọa thời hiện đại. Mặc dù Tiện ích mở rộng bảo vệ phần mềm của Intel hiện có sẵn cho nền tảng máy chủ chính thống với thế hệ CPU Ice Lake, có ba công nghệ khác giúp tăng cường bảo mật và bảo vệ lượng lớn dữ liệu được xử lý mỗi ngày.
Toàn bộ phạm vi nền tảng Ice Lake Nhận một số công nghệ bảo vệ và bảo mật dữ liệu mới:
Ngoài Phần mở rộng Bảo vệ Phần mềm Intel (Intel SGX), 3rd-Các CPU Gen Ice Lake-SP sẽ là một phần của bộ xử lý cấp Máy chủ Xeon sẽ có các tính năng mới bao gồm Mã hóa bộ nhớ toàn phần Intel (Intel TME), Khả năng phục hồi phần mềm nền tảng Intel (Intel PFR) và các bộ tăng tốc mật mã mới. Cùng với nhau, các công nghệ này sẽ tăng cường tính bảo mật và tính toàn vẹn tổng thể của dữ liệu được xử lý trong các máy chủ ở tất cả các giai đoạn.
Intel đảm bảo các tính năng bảo mật trong Ice Lake cho phép khách hàng của công ty phát triển các giải pháp giúp cải thiện tư thế bảo mật của họ và giảm rủi ro liên quan đến quyền riêng tư và tuân thủ, chẳng hạn như dữ liệu được quy định trong các dịch vụ tài chính và chăm sóc sức khỏe.
Các công nghệ tiêu chuẩn như mã hóa lưu lượng đĩa và lưu lượng mạng thường bảo vệ dữ liệu trong lưu trữ và trong quá trình truyền. Tuy nhiên, dữ liệu có thể dễ bị đánh chặn và giả mạo khi đang được sử dụng trong bộ nhớ. Intel SGX là Môi trường thực thi tin cậy (TEE) cho phép cách ly ứng dụng trong các vùng bộ nhớ riêng, được gọi là vùng mã hóa, để giúp bảo vệ tối đa 1 terabyte mã và dữ liệu trong khi sử dụng.
Các công nghệ tập trung vào bảo mật mới của Intel sẽ được nhúng vào bên trong bộ 3rd-Gen Ice Lake Xeon CPU cấp máy chủ:
Intel đã phát hành Thông cáo báo chí đề cập đến các công nghệ mới sẽ được nhúng bên trong các CPU Xeon mới. Về cơ bản, những công nghệ này bảo vệ dữ liệu không chỉ khi nó nằm trong thiết bị lưu trữ và trong khi được xử lý mà còn trong quá trình chuyển đổi từ CPU sang RAM và các khu vực khác. Chúng sẽ có thể bảo vệ dữ liệu ngay cả khi một mối đe dọa độc hại có thể lấy được bộ nhớ thô từ các hệ thống bị xâm nhập. Sau đây là mô tả ngắn gọn về từng công nghệ.
- Mã hóa bộ nhớ đầy đủ: Để bảo vệ tốt hơn toàn bộ bộ nhớ của một nền tảng, Ice Lake giới thiệu một tính năng mới được gọi là Mã hóa bộ nhớ toàn phần Intel (Intel TME). Intel TME giúp đảm bảo rằng tất cả bộ nhớ được truy cập từ CPU Intel đều được mã hóa, bao gồm thông tin đăng nhập của khách hàng, khóa mã hóa và IP hoặc thông tin cá nhân khác trên bus bộ nhớ ngoài. Intel đã phát triển tính năng này để cung cấp khả năng bảo vệ cao hơn cho bộ nhớ hệ thống trước các cuộc tấn công phần cứng, chẳng hạn như loại bỏ và đọc mô-đun bộ nhớ nội tuyến kép (DIMM) sau khi phun nitơ lỏng hoặc cài đặt phần cứng tấn công có mục đích. Sử dụng tiêu chuẩn mã hóa lưu trữ AES XTS của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST), khóa mã hóa được tạo bằng bộ tạo số ngẫu nhiên cứng trong bộ xử lý mà không cần tiếp xúc với phần mềm. Điều này cho phép phần mềm hiện có chạy không bị sửa đổi đồng thời bảo vệ bộ nhớ tốt hơn.
- Tăng tốc mật mã: Một trong những mục tiêu thiết kế của Intel là loại bỏ hoặc giảm tác động hiệu suất của việc tăng cường bảo mật để khách hàng không phải lựa chọn giữa bảo vệ tốt hơn và hiệu suất có thể chấp nhận được. Ice Lake giới thiệu một số hướng dẫn mới được sử dụng trong toàn ngành, cùng với các đổi mới về thuật toán và phần mềm, để mang lại hiệu suất mật mã đột phá. Có hai đổi mới cơ bản. Đầu tiên là một kỹ thuật để kết hợp các hoạt động của hai thuật toán thường chạy kết hợp với nhau nhưng tuần tự, cho phép chúng thực thi đồng thời. Thứ hai là phương pháp xử lý song song nhiều bộ đệm dữ liệu độc lập.
- Khả năng phục hồi chương trình cơ sở: Những kẻ thù tinh vi có thể cố gắng xâm nhập hoặc vô hiệu hóa chương trình cơ sở của nền tảng để chặn dữ liệu hoặc đánh sập máy chủ. Ice Lake giới thiệu Khả năng phục hồi phần mềm nền tảng Intel (Intel PFR) cho nền tảng Có thể mở rộng Intel Xeon để giúp bảo vệ chống lại các cuộc tấn công phần mềm nền tảng. Nó được thiết kế để phát hiện và sửa lỗi phần sụn trước khi chúng có thể xâm phạm hoặc vô hiệu hóa máy. Intel PFR sử dụng Intel FPGA làm gốc nền tảng đáng tin cậy để xác thực các thành phần phần sụn nền tảng quan trọng để khởi động trước khi bất kỳ mã phần sụn nào được thực thi. Các thành phần phần sụn được bảo vệ có thể bao gồm BIOS Flash, BMC Flash, Bộ mô tả SPI, Công cụ quản lý Intel và phần sụn cấp nguồn.