Intel ha annunciato una suite di nuove funzioni di sicurezza per la piattaforma Intel Xeon Scalable di prossimo lancio, nome in codice “Ice Lake”. Intel rafforza il proprio impegno Security First Pledge, portando funzioni avanzate quali Intel Software Guard Extension (Intel SGX) a tutte le piattaforme Ice Lake, assieme a nuove funzioni che comprendono Intel Total Memory Encryption (Intel TME), Intel Platform Firmware Resilience (Intel PFR) e nuovi acceleratori crittografici che rafforzano la piattaforma a migliorano in generale la riservatezza e l’integrità dei dati.

“Proteggere i dati è essenziale per poterne poi estrarre valore, e con le capacità della prossima piattaforma Xeon Scalable di terza generazione aiuteremo i nostri clienti e risolvere le più complesse problematiche legate ai loro dati, migliorandone al contempo la riservatezza e l’integrità. In questo modo proseguiamo nel lungo percorso storico di partnership con il nostro ecosistema per guidare il processo di innovazione nel campo della sicurezza” ha commentato Lisa Spelman, corporate vice president, Data Platform Group e general manager, Xeon and Memory Group di Intel.

Protezione dei dati su tutto lo stack

Tecnologie quali la crittografia del traffico su disco e di rete proteggono i dati nello storage e durante la trasmissione, ma questi possono essere vulnerabili all’intercettazione e alla manomissione durante l’uso in memory. Quella del “confidential computing” è una categoria di utilizzo in rapida evoluzione che protegge i dati mentre sono in uso in ambiente Trusted Execution Environment (TEE). Intel SGX è aggiornato e testato per l’elaborazione riservata dei data center, con la superficie di attacco più piccola all’interno del sistema. Abilita l’isolamento delle applicazioni nelle regioni di memoria privata, denominate enclave, per proteggere fino a 1 terabyte di codice e dati durante l’uso.

Clienti come la University of California San Francisco (UCSF), NEC, Magnit e altre organizzazioni in settori altamente regolamentati si sono affidati a Intel per sostenere la loro strategia di sicurezza e utilizzano Intel SGX. Le organizzazioni nel settore sanitario possono proteggere in modo più sicuro i dati, comprese le cartelle cliniche elettroniche, con un ambiente informatico che preserva al meglio la privacy dei pazienti. In altri settori, come il retail, le aziende si affidano a Intel per mantenere la riservatezza dei dati e proteggere la proprietà intellettuale.

Intel ha presentato anche nuove funzioni di sicurezza per migliorare la protezione dei dati e rafforzare la piattaforma tra cui:

2nd-Gen Xeon Scalable Portfolio Enhancements

Cifratura completa della memoria

Per proteggere meglio l’intera memoria di una piattaforma, Ice Lake introduce una nuova funzionalità denominata Intel Total Memory Encryption (Intel TME). Intel TME aiuta a garantire che tutta la memoria a cui si accede dalla CPU Intel sia crittografata, comprese le credenziali del cliente, le chiavi di crittografia e altra proprietà intellettuale o informazioni personali sul bus di memoria esterno.

Intel ha sviluppato questa funzionalità per proteggere meglio la memoria di sistema da attacchi hardware quali la rimozione e la lettura del modulo DIMM (Dual In-Line Memory Module) dopo averlo irrorato con azoto liquido o avere installato hardware di attacco appositamente costruito. Utilizzando lo standard di cifratura del National Institute of Standards and Technology (NIST), AES XTS, viene generata una chiave crittografica per mezzo di un generatore di numeri casuali nel processore senza esposizione al software. Ciò consente al software esistente di funzionare senza modifiche proteggendo meglio la memoria.

Accelerazione crittografica

Uno degli obiettivi di Intel è rimuovere o ridurre l’impatto che una maggiore sicurezza può avere sulle prestazioni in modo da porre i clienti nella condizione di scegliere tra una protezione migliore e prestazioni accettabili. Ice Lake introduce diverse nuove istruzioni utilizzate in tutto il settore, insieme a innovazioni algoritmiche e software, per fornire prestazioni crittografiche rivoluzionarie. Vi sono due innovazioni fondamentali. La prima è una tecnica per unire le operazioni di due algoritmi che tipicamente sono eseguiti in combinazione ma in sequenza, consentendone l’esecuzione simultanea. Il secondo è un metodo per elaborare molteplici buffer di dati indipendenti in parallelo.

Elevata resilienza

Hacker particolarmente sofisticati potrebbero tentare di compromettere o disabilitare il firmware della piattaforma per intercettare i dati o disattivare il server. Ice Lake introduce Intel Platform Firmware Resilience (Intel PFR) nella piattaforma scalabile Intel Xeon per proteggerla dagli attacchi al firmware della piattaforma; questa funzione è progettata per rilevarli e correggerli prima che possano compromettere o disabilitare la macchina. Intel PFR utilizza un FPGA Intel come “root of trust” della piattaforma per convalidare i componenti firmware critical-to-boot della piattaforma prima che venga eseguito qualsiasi codice firmware. I componenti firmware protetti possono includere BIOS Flash, BMC Flash, SPI Descriptor, Intel Management Engine e firmware di alimentazione.