Wie Intel und AMD hoffen, das Cloud-Sicherheitsspiel zu gewinnen • The Register

Analyse Da Anbieter von Cloud-Diensten zunehmend nach x86-Architekturalternativen Ausschau halten, versuchen Intel und AMD, Wege zu finden, um die Gunst auf dem Markt zu gewinnen oder zu halten – und dazu gehören das Einbacken von Sicherheitsfunktionen und das Bilden von Diensten und Partnerschaften.

Beide Halbleitergiganten kündigten diese Woche Cloud-Sicherheitsinitiativen an. Auf der Intel Vision-Veranstaltung am Mittwoch enthüllte Intel seine Projekt Bernstein Fernüberprüfungsdienst unter anderem für Cloud-Anbieter. Einen Tag zuvor hatte Google Cloud eine Zusammenarbeit mit AMD detailliert beschrieben, um die Sicherheit der Epyc-Prozessoren des Chipdesigners zu erhöhen.

Die Duell-Bemühungen drehen sich beide um Confidential Computing, das darauf abzielt, vertrauliche Daten zu schützen, indem sie im Speicher mithilfe von hardwarebasierten sogenannten vertrauenswürdigen Ausführungsumgebungen, auch als sichere Enklaven bekannt, die von den neuesten Serverchips von Intel und AMD bereitgestellt werden, verschlüsselt werden. Diese Technologie ist unterstützt von Branchenakteuren, darunter Arm, das ebenfalls über vertrauliche Datenverarbeitung verfügt die Architektur.

Im Mittelpunkt von Confidential Computing steht der Wunsch, sensible Daten und Code nicht nur vor anderer Software und Benutzern auf einem Cloud-Server, sondern auch vor den Administratoren der Maschine zu schützen. Es richtet sich an Kunden, die Informationen extern verarbeiten und sicher sein möchten, dass nicht einmal ein unseriöser Insider oder ein kompromittierter oder böswilliger Hypervisor oder eine Systemsoftwarekomponente im Remote-Rechenzentrum diese Daten stören oder ausspionieren kann.

Während Intel in der Vergangenheit der dominierende Hersteller von CPUs für Cloud-Anbieter war, hat das Unternehmen Fertigungsfehler hat AMD erlaubt, Marktanteile zu stehlen und sein Cloud-Geschäft verdoppeln seit mehreren Quartalen mit schnelleren Prozessoren mit höherer Kernzahl, die von TSMC hergestellt werden.

Jetzt, wo Intel daran arbeitet, die Technologieführerschaft im Rahmen eines ehrgeiziger Comeback-Plandie beiden Rivalen stehen vor einer Bedrohung in Form von Cloud-Anbieter übernehmen alternative Chiparchitekten, vor allem Arm, um schnellere und effizientere Dienste bereitzustellen.

Neues „Trust-as-a-Service“ von Intel

Vor diesem Hintergrund hat Intel am Mittwoch Project Amber angekündigt, ein Software-as-a-Service-Angebot, das als unabhängige Instanz für die Remote-Verifizierung der Vertrauenswürdigkeit einer vertraulichen Computerumgebung in Cloud- und Edge-Infrastrukturen fungiert.

Intel plant, Project Amber als Multi-Cloud-Dienst anzubieten, der mehrere Arten von sicheren Enklaven unterstützt, auf die von Bare-Metal-Containern, virtuellen Maschinen und Containern in VMs aus zugegriffen werden kann.

Die erste Version wird nur sichere Enklaven unterstützen, die durch die Intel Software Guard Extensions (SGX)-Funktion geschützt sind, natürlich, die letztes Jahr mit der Einführung von Intels in Mainstream-Xeon-Prozessoren debütierte stark verzögert Ice Lake-Serverchips. Der Chiphersteller hofft, die Abdeckung in Zukunft auf Enklaven auszudehnen, die von anderen Unternehmen bereitgestellt werden.

Intel plant, ein Software-Ökosystem um den Dienst herum aufzubauen, und sagt, dass seine Mitarbeiter mit unabhängigen Softwareanbietern zusammenarbeiten, um Dienste auf Basis von Project Amber aufzubauen, die von Software-Tools und APIs verwaltet werden.

In der Keynote von Intel Vision am Mittwoch nannte Greg Lavender, CTO von Intel, Project Amber eine „Trust-as-a-Service-Lösung“ und sagte, dass es durch den Beglaubigungsprozess vertrauenswürdige Umgebungen aufbaut, so dass Benutzer sich sicher fühlen können, „sensible, unternehmenskritische Daten“ darin auszuführen Wolke.

„In dieser Architektur ist die Zertifizierungsstelle nicht mehr mit dem Infrastrukturanbieter verbunden. Diese Entkopplung trägt dazu bei, Objektivität und Unabhängigkeit zu gewährleisten, um die Vertrauenssicherheit für Benutzer und Anwendungsentwickler zu verbessern“, sagte Lavender, der die Software-Organisation von Intel leitet.

Intel wird voraussichtlich noch in diesem Jahr ein Pilotprojekt für Project Amber mit ausgewählten Kunden durchführen. Ein Sprecher lehnte es ab, Einzelheiten darüber zu nennen, wie es plant, Project Amber zu monetarisieren, aber wir vermuten, dass es mit seiner SaaS-Neigung in das wachsende Portfolio kommerzieller Softwareprodukte des Chipherstellers aufgenommen werden könnte, von dem CEO Pat Gelsinger hofft, dass es Intel wettbewerbsfähiger machen wird.

Lavender sagte, Intel arbeite daran, es Unternehmen zu erleichtern, Intel SGX mit einem Open-Source-Projekt namens zu verwenden Gramine die es Entwicklern ermöglicht, unveränderte Linux-Anwendungen in SGX-Enklaven auszuführen. Dies ist wichtig, da die Funktion in der Vergangenheit von Entwicklern verlangte, den Code von Anwendungen zu ändern, um SGX zu verwenden, was Hindernisse für eine breitere Einführung in der Industrie geschaffen hat.

„Gramine bietet eine „Knopfdruck“-Methode zum einfachen Schutz von Anwendungen und Daten. Dies bedeutet eine schnellere, sicherere und skalierbarere End-to-End-Sicherheitslösung mit minimalem Aufwand“, sagte Lavender.

AMD vertieft Zusammenarbeit mit Google Cloud

Während Intel SGX bereits 2013 einführte, schlug AMD seinen Konkurrenten auf dem Rechenzentrumsmarkt mit den ersten Mainstream-Server-CPUs, die mit dem Debüt seiner Epyc-Familie im Jahr 2017 Confidential Computing-Funktionen enthielten. AMD machte die Dinge dann für Cloud-Anbieter rentabler durch die Anzahl der Verschlüsselungsschlüssel im zweite Generation von Epyc im Jahr 2019.

Die Tatsache, dass AMD zu dieser Zeit der einzige Chipdesigner mit vertraulichen Rechenfunktionen in Mainstream-Server-CPUs war, war einer der Hauptgründe, warum Google Cloud sich letztendlich für AMD statt für Intel entschied, um sein Produkt „Confidential Virtual Machines“ zu betreiben. die gestartet im Jahr 2020.

Google Cloud sagte, Benutzerfreundlichkeit und geringe Auswirkungen auf die Leistung seien zwei weitere Gründe, warum es sich für AMDs Secure Encryption Virtualization (SEV) entschieden habe, das Hauptmerkmal, das vertrauliche Rechenfunktionen in Epyc ermöglicht. Trotz der Erweiterung von Intel SGX in Mainstream-Xeon-Prozessoren im Jahr 2021 muss Google Cloud SGX noch für neue Produkte in seinem Confidential Computing-Portfolio einführen.

Stattdessen hat der Cloud-Anbieter seine Partnerschaft mit AMD durch eine gemeinsame, eingehende Sicherheitsüberprüfung der Sicherheitsfunktionen von Epyc vertieft. was angekündigt wurde am Dienstag. Die Überprüfung ermöglichte es dem Chipdesigner, Schwachstellen im sicheren Koprozessor zu identifizieren und zu beheben, der SEV und andere vertrauliche Rechenfunktionen in Epyc-Chips ermöglicht.

Die Ergebnisse dieser technischen Überprüfung sind hierund es enthüllte 19 Sicherheitslücken, die von AMD in Patches behoben wurden, die in den letzten Monaten veröffentlicht wurden.

Das Audit ist eine große Sache, da AMD den Sicherheitsteams von Google Cloud Zugriff auf die proprietäre Firmware und Hardwarekomponenten des Chipdesigners gewähren musste, damit die Forscher jedes Detail der Implementierung von AMD untersuchen und benutzerdefinierte Tests entwickeln konnten.

Schließlich hat es viele Male gegeben, in denen unabhängige Forscher Fehler in beiden aufgedeckt haben Intel-SGX und AMD-SEV allein, sodass AMD einen Anreiz hat, mit einem Cloud-Anbieter zusammenzuarbeiten, der eine beträchtliche Menge seiner Prozessoren kauft.

Google Cloud führte die Überprüfung durch, um sein Confidential Computing-Portfolio zu erweitern, und der Cloud-Anbieter sagte, die Prüfung habe ihm das Vertrauen gegeben, dass solche Produkte eine „erhöhte Sicherheitsbarriere“ erfüllen, da seine Confidential-VMs jetzt „vor einer Vielzahl von Angriffen geschützt sind. “

„Letztendlich profitieren wir alle von einem sicheren Ökosystem, auf das sich Unternehmen für ihre Technologieanforderungen verlassen können, und deshalb schätzen wir unsere enge Zusammenarbeit mit AMD bei diesen Bemühungen unglaublich“, sagte Royal Hansen, Head of Security Engineering bei Google.

Während Intel Google Cloud mit SGX noch überzeugen muss, wurden die vertraulichen Rechenfunktionen des Halbleitergiganten von Microsoft Azure und IBM übernommen. unter kleineren Infrastrukturanbieter. Azure und IBM haben sich auch in die konkurrierenden Funktionen von AMD eingekauft.

Mit einem Forschungsunternehmen, das den Markt für vertrauliche Computer schätzt erreichen 54 Milliarden US-Dollar bis 2026, die jüngsten Bestrebungen von Intel und AMD unterstreichen, wie beide Unternehmen die zugrunde liegende Technologie als wichtigen Weg ansehen, um zukünftig die Gunst der Cloud-Anbieter zu gewinnen. Und sie bereiten sich zweifellos darauf vor, dass andere Chipanbieter mit ihren eigenen Fähigkeiten in den Kampf einsteigen. ®

Bootnote

Intel hat SGX im Unternehmen eingeführt Xeon E CPUs für Einstiegsserver im Jahr 2017, aber sie wurden nur für Single-Socket-Server entwickelt und waren nicht Teil der skalierbaren Mainstream-Xeon-Reihe.

Leave a Comment