處理器與雲業者紛紛投入機密運算

按讚加入iThome粉絲團
【機密運算下的IT角色變化】右側是傳統的IT服務模式，系統管理人員在面對IT基礎架構時，著重的是維運，對於資料存取的保證，是基於信任、透明度、控制；左側則是機密運算所要達成的目標，為了因應資料外洩日益嚴重的態勢，系統管理人員可以從技術的角度來確保他們無法接觸到資料內容。（圖片來源／IBM）
在2018年1月，Google的Project Zero團隊揭露震驚IT界的資安漏洞，那就是目前許多處理器普遍採用的推測執行技術（speculative execution），雖然用於改善運算效能，但可能會導致嚴重的資安漏洞，也就是眾所周知的Spectre與Meltdown，而這項漏洞影響的處理器廠商，主要有英特爾、AMD、Arm，其中又以英特爾受到最大的責難壓力。這幾年以來，雖然三家廠商都在持續關注與修補，直到2020年下半，相關風波才逐漸平息，但從此之後，處理器是否具有資安漏洞、如何緩解，已成為IT界發展各式應用的重大隱憂。而這樣的漏洞危機，在2019年9月，也促使機密運算聯盟（Confidential Computing Consortium）的成立。
【機密運算下的IT角色變化】右側是傳統的IT服務模式，系統管理人員在面對IT基礎架構時，著重的是維運，對於資料存取的保證，是基於信任、透明度、控制；左側則是機密運算所要達成的目標，為了因應資料外洩日益嚴重的態勢，系統管理人員可以從技術的角度來確保他們無法接觸到資料內容。（圖片來源／IBM）
兩大處理器廠商陸續投入機密運算
英特爾SGX
隔年英特爾推出SGX SDK for Linux OS 1.5版，提供Linux作業系統支援，而2017年RSA資安大會期間，英特爾也發佈消息，強調SGX可以保護正在使用的資料（Data in use）。
後續推出的Xeon E系列也內建SGX──2018年11月推出Xeon E-2100系列，2019年11月初推出Xeon E-2200系列）。到了2019年2月舉行的RSA大會，英特爾展出專屬介面卡產品SGX Card。
在2021年4月發表的第三代Xeon Scalable系列，全面支援SGX，象徵該公司的機密運算技術，躋身主流伺服器平臺，可望帶動更多雲端服務業者、軟體廠商、企業的研發與建置使用。
AMD SEV
另一家處理器廠商AMD，則是在2013、2014年推出的APU處理器，增添了平臺安全處理器（Platform Security Processor，PSP），而能以此支援可信任執行環境的應用方式──PSP是基於Arm Cortex-A5核心而成，裡面提供了TrustZone進階資料防護技術。
到了2017年以後，他們推出Zen架構的PC與伺服器處理器，又增添了硬體記憶體加密技術──在處理器當中，包含了嵌入記憶體控制器的AES-128硬體加密引擎，以及專屬的安全處理器AMD Secure Processor（AMD-SP，也就是上述的PSP），而結合兩者之後，也促成了安全記憶體加密（SME），以及安全加密虛擬化（SEV）這兩大新防護技術。
以伺服器處理器為例，AMD在2017年6月發表的第一代EPYC（7001系列）開始內建SME與SEV。兩種技術有何異同？共通點在於，應用程式不需修改即可使用，而兩者的差異在於：SME用於單支金鑰的防護，在系統開機時產生金鑰，若需啟用這項防護，是從BIOS或作業系統來著手；SEV是用於多支金鑰的防護（每臺虛擬機器或每個虛擬化平臺配置單支金鑰），由AMD-SP與Hypervisor來管理金鑰，若需啟用這項防護，是從Hypervisor與虛擬機器執行的作業系統來著手。同年11月，Linux系統核心4.14版開始支援SEV。
2019年8月AMD推出第二代EPYC（7002系列），公有雲業者GCP看好SEV，而在隔年7月運用這款處理器，推出該公司首款機密VM服務N2D系列。
而由於第二代EPYC增設了安全加密虛擬化－加密狀態技術（SEV-ES），相較於SEV是針對虛擬機器的記憶體存取提供加密保護，SEV-ES則會進一步對CPU的暫存器執行加密，為此，AMD也尋求與其他IT廠商合作，希望能夠發展相關應用。結果率先支援的是VMware，在2020年9月，他們宣布伺服器虛擬化平臺vSphere的7.0 Update1版，將支援SEV-ES；2021年3月vSphere 7.0 Update2登場，VMware運用SEV-ES來提供Confidential vSphere Pod的功能，可促使虛擬機器記憶體持續處於加密狀態，以便防護從Hypervisor層發動的惡意存取行為。

Related Keywords

Italy ,Seoul ,Soult Ukpyolsi ,South Korea ,Han , ,Service Industry ,First Development ,Assembly Intel ,Brancha Protection ,Intel ,Intel Seoul ,Off Note ,Source Arsenal ,Start Support ,General Assembly Intel ,New Protection ,Start Support August ,New Features ,Red Hat ,இத்தாலி ,சியோல் ,தெற்கு கொரியா ,ஹான் ,சேவை தொழில் ,முதல் வளர்ச்சி ,இன்டெல் ,புதியது ப்ரொடெக்ஶந் ,புதியது அம்சங்கள் ,சிவப்பு தொப்பி ,