吳明宜AMD 和 IBM 昨日宣佈簽定一項多年合作,旨在提供雲端上的機密運算 (Confidential Computing) 。這議題是因應企業用戶對雲端運算資料安全性感到疑慮而興起。
AMD 競爭者英特爾 (Intel) 很早就將觸角伸向企業雲端安全的領域。透過這項合作,AMD 和 IBM 計畫發展出安全技術,以克服阻礙企業客戶擁抱雲端的最大因素。
本文目錄
AMD 提供雲端時代的機密運算
雲端運算資安全性可以分成三個部份,包括資料儲存、傳送及運算三個階段。儲存和傳輸都有成熟的方案,但是資料處理時的安全性卻還令用戶憂心。這是因為當處理器存取資料時,必須移除標準的安全程序,像是加密,這就導致在處理器記憶體的資訊風險,攻擊者只要寫程式碼就可以引發記憶體洩露內容。
AMD 和 IBM 的合作就是為了提供機密運算技術以解決這類風險。雙方宣佈將在開原碼軟體、開放標準及架構基礎上開發以推動混合雲環境的機密運算,並支援多種高效能運算 (HPC) 加速器、以及虛擬化和加密等關鍵企業技術。
機密運算是透過在硬體層實作 OS 無法存取的信賴執行環境 (Trusted Execution Environment, TEE),並加密處理器記憶體,只有獲得加密金鑰的 App 程式碼才能存取 TEE 內的資訊。
Intel 的機密運算技術-SGX
英特爾也提供 Software Guard Extensions (SGX) 技術提供機密運算,計畫今年內推向整合 Xeon 處理器產品線。 2018 年初聲名大噪的 Meltdown 及 Spectre 等漏洞就是允許非授權程式存取處理器記憶體暫存器 (register) 而肇禍。除了最新推出的 Xeon-E 晶片外,英特爾承諾未來整個資料中心產品線都會加入 SGX 技術。
AMD 的 EPYC 處理器提供 Secure Encrypted Virtualization (SEV) 及單系統晶片 (system-on-chip, SoC) 中的輔助處理器來產生資料加密金鑰。 SEV 是來自 Sony Playstation 4 及微軟 Xbox One 帶出的密鑰隔離,主要是防止消費者用這些主機打盜版遊戲。 AMD 的 SEV 使用 Arm 的安全輔助處理器 (co-processor),可支援 509 把加密金鑰。金鑰是由輔助處理器產生,因此虛擬運算處理器上沒有任何元件能存取。此外,使用 AMD 晶片,企業不需要為了和 SEV 相容修改作業負載,成本更低,對用戶來說也更具吸引力。
來源:wccftech