Wie Intel und AMD hoffen, das Cloud-Sicherheitsspiel zu gewinnen • The Register

Analyse Da Anbieter von Cloud-Diensten zunehmend nach x86-Architekturalternativen Ausschau halten, versuchen Intel und AMD, Wege zu finden, um die Gunst auf dem Markt zu gewinnen oder zu halten – und dazu gehören das Einbacken von Sicherheitsfunktionen und das Bilden von Diensten und Partnerschaften.

Beide Halbleitergiganten kündigten diese Woche Cloud-Sicherheitsinitiativen an. Auf der Intel Vision-Veranstaltung am Mittwoch enthüllte Intel seine Projekt Bernstein Fernüberprüfungsdienst unter anderem für Cloud-Anbieter. Einen Tag zuvor hatte Google Cloud eine Zusammenarbeit mit AMD detailliert beschrieben, um die Sicherheit der Epyc-Prozessoren des Chipdesigners zu erhöhen.

Die Duell-Bemühungen drehen sich beide um Confidential Computing, das darauf abzielt, vertrauliche Daten zu schützen, indem sie im Speicher mithilfe von hardwarebasierten sogenannten vertrauenswürdigen Ausführungsumgebungen, auch als sichere Enklaven bekannt, die von den neuesten Serverchips von Intel und AMD bereitgestellt werden, verschlüsselt werden. Diese Technologie ist unterstützt von Branchenakteuren, einschließlich Arm, das ebenfalls über vertrauliche Datenverarbeitung verfügt die Architektur.

Im Mittelpunkt von Confidential Computing steht der Wunsch, sensible Daten und Code nicht nur vor anderer Software und Benutzern auf einem Cloud-Server, sondern auch vor den Administratoren der Maschine zu schützen. Es richtet sich an Kunden, die Informationen extern verarbeiten und sicher sein möchten, dass nicht einmal ein unseriöser Insider oder ein kompromittierter oder bösartiger Hypervisor oder eine Systemsoftwarekomponente im Remote-Rechenzentrum diese Daten stören oder ausspionieren kann.

Während Intel in der Vergangenheit der dominierende Hersteller von CPUs für Cloud-Anbieter war, ist die des Unternehmens Fertigungsfehler hat AMD erlaubt, Marktanteile zu stehlen und sein Cloud-Geschäft verdoppeln seit einigen Quartalen mit schnelleren Prozessoren mit höherer Kernzahl, die von TSMC hergestellt werden.

Jetzt, wo Intel daran arbeitet, die Technologieführerschaft im Rahmen eines ehrgeiziger Comeback-Plandie beiden Rivalen stehen vor einer Bedrohung in Form von Annahme von Cloud-Anbietern alternative Chiparchitekturen, hauptsächlich ARM, um schnellere und effizientere Dienste bereitzustellen.

Neues „Trust-as-a-Service“ von Intel

Vor diesem Hintergrund hat Intel am Mittwoch Project Amber angekündigt, ein Software-as-a-Service-Angebot, das als unabhängige Instanz für die Remote-Verifizierung der Vertrauenswürdigkeit einer vertraulichen Computerumgebung in Cloud- und Edge-Infrastrukturen fungiert.

Intel plant, Project Amber als Multi-Cloud-Dienst anzubieten, der mehrere Arten von sicheren Enklaven unterstützt, auf die von Bare-Metal-Containern, virtuellen Maschinen und Containern in VMs aus zugegriffen werden kann.

Die erste Version wird nur sichere Enklaven unterstützen, die durch die Intel Software Guard Extensions (SGX)-Funktion geschützt sind, natürlich, die letztes Jahr mit der Einführung von Intels in Mainstream-Xeon-Prozessoren debütierte stark verzögert Ice Lake-Serverchips. Der Chiphersteller hofft, die Abdeckung in Zukunft auf Enklaven auszudehnen, die von anderen Unternehmen bereitgestellt werden.

Intel plant, ein Software-Ökosystem um den Dienst herum aufzubauen, und sagt, dass seine Mitarbeiter mit unabhängigen Softwareanbietern zusammenarbeiten, um Dienste auf Basis von Project Amber aufzubauen, die von Software-Tools und APIs verwaltet werden.

In der Keynote von Intel Vision am Mittwoch nannte Greg Lavender, CTO von Intel, Project Amber eine „Trust-as-a-Service-Lösung“ und sagte, dass es durch den Beglaubigungsprozess vertrauenswürdige Umgebungen aufbaut, damit sich Benutzer sicher fühlen können, „sensible, unternehmenskritische Daten“ darin zu verarbeiten die Wolke.

„In dieser Architektur ist die Beglaubigungsstelle nicht mehr mit dem Infrastrukturanbieter verbunden. Diese Entkopplung trägt dazu bei, Objektivität und Unabhängigkeit zu gewährleisten, um die Vertrauenssicherheit für Benutzer und Anwendungsentwickler zu verbessern“, sagte Lavender, der die Software-Organisation von Intel leitet.

Intel wird voraussichtlich noch in diesem Jahr ein Pilotprojekt für Project Amber mit ausgewählten Kunden durchführen. Ein Sprecher lehnte es ab, Einzelheiten darüber zu nennen, wie es plant, Project Amber zu monetarisieren, aber wir vermuten, dass es mit seiner SaaS-Neigung zum wachsenden Portfolio kommerzieller Softwareprodukte des Chipherstellers gehören könnte, von dem CEO Pat Gelsinger hofft, dass es Intel wettbewerbsfähiger machen wird.

Lavender sagte, Intel arbeite daran, es Unternehmen zu erleichtern, Intel SGX mit einem Open-Source-Projekt namens zu verwenden Gras die es Entwicklern ermöglicht, unveränderte Linux-Anwendungen in SGX-Enklaven auszuführen. Dies ist wichtig, da die Funktion in der Vergangenheit von Entwicklern verlangte, den Code von Anwendungen zu ändern, um SGX zu verwenden, was Hindernisse für eine breitere Einführung in der Industrie geschaffen hat.

„Gramine bietet eine „Knopfdruck“-Methode zum einfachen Schutz von Anwendungen und Daten. Dies bedeutet eine schnellere, sicherere und skalierbarere End-to-End-Sicherheitslösung mit minimalem Aufwand“, sagte Lavender.

AMD vertieft Zusammenarbeit mit Google Cloud

Während Intel SGX bereits 2013 einführte, schlug AMD seinen Konkurrenten auf dem Rechenzentrumsmarkt mit den ersten Mainstream-Server-CPUs, die mit dem Debüt seiner Epyc-Familie im Jahr 2017 Confidential Computing-Funktionen enthielten. AMD machte die Dinge dann für Cloud-Anbieter rentabler durch deutlich die Anzahl der Verschlüsselungsschlüssel in der erhöhen zweite Generation von Epyc im Jahr 2019.

Die Tatsache, dass AMD zu dieser Zeit der einzige Chipdesigner war, der über vertrauliche Rechenfunktionen in Mainstream-Server-CPUs verfügte, war einer der Hauptgründe, warum Google Cloud sich letztendlich für AMD anstelle von Intel entschied, um sein Produkt „Confidential Virtual Machines“ zu betreiben. die gestartet im Jahr 2020.

Google Cloud sagte, Benutzerfreundlichkeit und geringe Leistungseinbußen seien zwei weitere Gründe dafür, AMDs Secure Encryption Virtualization (SEV) zu nutzen, das Hauptmerkmal, das vertrauliche Rechenfunktionen in Epyc ermöglicht. Trotz der Erweiterung von Intel SGX in Mainstream-Xeon-Prozessoren im Jahr 2021 muss Google Cloud SGX noch für neue Produkte in seinem Confidential Computing-Portfolio einführen.

Stattdessen hat der Cloud-Anbieter seine Partnerschaft mit AMD durch eine gemeinsame, eingehende Sicherheitsüberprüfung der Sicherheitsfunktionen von Epyc vertieft. was angekündigt wurde am Dienstag. Die Überprüfung ermöglichte es dem Chipdesigner, Schwachstellen im sicheren Koprozessor zu identifizieren und zu beheben, der SEV und andere vertrauliche Rechenfunktionen in Epyc-Chips ermöglicht.

Die Ergebnisse dieser technischen Überprüfung sind hierund es enthüllte 19 Sicherheitslücken, die von AMD in Patches behoben wurden, die in den letzten Monaten veröffentlicht wurden.

Die Prüfung ist eine große Sache, da AMD den Sicherheitsteams von Google Cloud Zugang zu den proprietären Firmware- und Hardwarekomponenten des Chipdesigners gewähren musste, damit die Forscher jedes Detail der AMD-Implementierung und der benutzerdefinierten Währungstests untersuchen konnten.

Schließlich hat es viele Male gegeben, in denen unabhängige Forscher Fehler in beiden aufgedeckt haben Intel-SGX und AMD-SEV allein, sodass AMD einen Anreiz hat, mit einem Cloud-Anbieter zusammenzuarbeiten, der eine beträchtliche Menge seiner Prozessoren kauft.

Google Cloud führte die Überprüfung durch, um sein Confidential Computing-Portfolio zu erweitern, und der Cloud-Anbieter sagte, die Prüfung habe ihm das Vertrauen gegeben, dass solche Produkte eine „erhöhte Sicherheitsbarriere“ erfüllen, da seine Confidential-VMs jetzt „gegen eine breite Palette von Angriffen geschützt sind .”

„Letztendlich profitieren wir alle von einem sicheren Ökosystem, auf das sich Unternehmen für ihre Technologieanforderungen verlassen, und deshalb schätzen wir unsere enge Zusammenarbeit mit AMD bei diesen Bemühungen unglaublich“, sagte Royal Hansen, Head of Security Engineering bei Google.

Während Intel Google Cloud mit SGX noch überzeugen muss, wurden die Confidential Computing-Funktionen des Halbleitergiganten von Microsoft Azure und IBM übernommen. unter kleineren Infrastrukturanbieter. Azure und IBM haben sich auch in die konkurrierenden Funktionen von AMD eingekauft.

Mit einem Forschungsunternehmen, das den Markt für vertrauliche Computer schätzt erreichen 54 Milliarden US-Dollar bis 2026, die jüngsten Bemühungen von Intel und AMD unterstreichen, wie beide Unternehmen die zugrunde liegende Technologie als einen wichtigen Weg ansehen, um in Zukunft die Gunst der Cloud-Anbieter zu gewinnen. Und sie bereiten sich zweifellos darauf vor, dass andere Chipanbieter mit ihren eigenen Fähigkeiten in den Kampf einsteigen. ®

Bootnote

Intel hat SGX im Unternehmen eingeführt Xeon E CPUs für Einstiegsserver im Jahr 2017, aber sie wurden nur für Single-Socket-Server entwickelt und waren nicht Teil der skalierbaren Mainstream-Xeon-Reihe.

Leave a Comment

Your email address will not be published.