Intel Ice Lake-SP Xeon-CPUs mit Serverqualität bieten mehrere Sicherheits- und Datenschutzfunktionen, die sich an die Verbraucher wenden können

Intel kündigte mehrere sicherheitsrelevante Innovationen an, die jetzt Teil der Ice Lake-CPU-Architektur sind. Im Rahmen des Security First Pledge hat Intel Technologien wie Intel SGX, Speicherverschlüsselung, Firmware-Ausfallsicherheit und bahnbrechende kryptografische Beschleuniger in die 3 integriert^rd-Gen Intel Xeon CPUs.

Das bevorstehende 3^rd Intel Xeon Scalable-Plattform der Generation mit dem Codenamen „Ice Lake“ Es werden mehrere Technologien zusammenarbeiten, um sensible Arbeitslasten zu schützen. Diese neuen Innovationen sollten neue Möglichkeiten für die Arbeit mit sensiblen Datenpaketen ermöglichen, die gegen moderne Bedrohungen geschützt werden müssen. Während die Intel Software Guard Extensions jetzt für die Volume-Mainstream-Serverplattform mit der Ice Lake-CPU-Generation verfügbar sind, gibt es drei weitere Technologien, die die Sicherheit und den Schutz großer Datenmengen verbessern, die täglich verarbeitet werden.

Die gesamte Palette der Ice Lake-Plattformen bietet verschiedene neue Technologien für Datensicherheit und -schutz:

Neben der Intel Software Guard Extension (Intel SGX) wird die kommende 3^rd-Gen Ice Lake-SP-CPUs, die Teil der Xeon Server-Prozessoren sein werden, verfügen über neue Funktionen wie Intel TME (Total Memory Encryption), Intel PFR (Intel Platform Firmware Resilience) und neue kryptografische Beschleuniger. Zusammen sollten diese Technologien die allgemeine Vertraulichkeit und Integrität der auf Servern verarbeiteten Daten in allen Phasen verbessern.

Intel versichert, dass die Sicherheitsfunktionen in Ice Lake es den Kunden des Unternehmens ermöglichen, Lösungen zu entwickeln, die dazu beitragen, ihre Sicherheitslage zu verbessern und Risiken im Zusammenhang mit Datenschutz und Compliance zu verringern, z. B. regulierte Daten in Finanzdienstleistungen und im Gesundheitswesen.

Standardtechnologien wie die Verschlüsselung des Festplatten- und Netzwerkverkehrs schützen normalerweise Daten im Speicher und während der Übertragung. Daten können jedoch während der Verwendung im Speicher für das Abfangen und Manipulieren anfällig sein. Der Intel SGX ist eine vertrauenswürdige Ausführungsumgebung (Trusted Execution Environment, TEE), die die Isolation von Anwendungen in privaten Speicherbereichen (Enklaven) ermöglicht, um bis zu 1 Terabyte Code und Daten während der Verwendung zu schützen.

Neue sicherheitsorientierte Intel-Technologien, die in die 3 eingebettet werden^rd-Gen Ice Lake Xeon Server-CPUs:

Intel hat eine Pressemitteilung veröffentlicht, in der die neuen Technologien erwähnt werden, die in die neuen Xeon-CPUs eingebettet werden. Diese Technologien schützen die Daten im Wesentlichen nicht nur, während sie sich in Speichergeräten befinden und verarbeitet werden, sondern auch während des Übergangs von der CPU zum RAM und in anderen Bereichen. Sie sollten in der Lage sein, Daten zu schützen, selbst wenn eine böswillige Bedrohung Rohspeicherauszüge von gefährdeten Systemen erhalten kann. Im Folgenden finden Sie eine kurze Beschreibung der einzelnen Technologien.

• Vollständige Speicherverschlüsselung: Um den gesamten Speicher einer Plattform besser zu schützen, führt Ice Lake eine neue Funktion namens Intel Total Memory Encryption (Intel TME) ein. Intel TME stellt sicher, dass der gesamte Speicher, auf den von der Intel-CPU aus zugegriffen wird, verschlüsselt ist, einschließlich Kundenanmeldeinformationen, Verschlüsselungsschlüsseln und anderen IP- oder persönlichen Informationen auf dem externen Speicherbus. Intel hat diese Funktion entwickelt, um den Systemspeicher besser vor Hardwareangriffen zu schützen, z. B. beim Entfernen und Lesen des Dual-Inline-Speichermoduls (DIMM) nach dem Besprühen mit flüssigem Stickstoff oder beim Installieren einer speziell entwickelten Angriffshardware. Unter Verwendung des Speicherverschlüsselungsstandards AES XTS des Nationalen Instituts für Standards und Technologie (NIST) wird ein Verschlüsselungsschlüssel unter Verwendung eines gehärteten Zufallszahlengenerators im Prozessor ohne Kontakt mit Software generiert. Dadurch kann vorhandene Software unverändert ausgeführt werden, während der Speicher besser geschützt wird.

• Kryptografische Beschleunigung: Eines der Designziele von Intel besteht darin, die Auswirkungen einer erhöhten Sicherheit auf die Leistung zu beseitigen oder zu verringern, damit Kunden nicht zwischen besserem Schutz und akzeptabler Leistung wählen müssen. Ice Lake führt mehrere neue Anweisungen ein, die branchenweit verwendet werden, zusammen mit algorithmischen und Software-Innovationen, um eine bahnbrechende kryptografische Leistung zu erzielen. Es gibt zwei grundlegende Neuerungen. Die erste ist eine Technik zum Zusammenfügen der Operationen zweier Algorithmen, die normalerweise in Kombination und dennoch nacheinander ausgeführt werden, sodass sie gleichzeitig ausgeführt werden können. Die zweite Methode ist die parallele Verarbeitung mehrerer unabhängiger Datenpuffer.
• Firmware-Ausfallsicherheit: Anspruchsvolle Gegner versuchen möglicherweise, die Firmware der Plattform zu kompromittieren oder zu deaktivieren, um Daten abzufangen oder den Server herunterzufahren. Ice Lake führt Intel Platform Firmware Resilience (Intel PFR) in die skalierbare Intel Xeon-Plattform ein, um sie vor Plattform-Firmware-Angriffen zu schützen. Es wurde entwickelt, um Firmware zu erkennen und zu korrigieren, bevor sie das Gerät gefährden oder deaktivieren kann. Intel PFR verwendet ein Intel FPGA als Plattformstamm des Vertrauens, um Firmware-Komponenten für kritische Boot-Plattformen zu validieren, bevor Firmware-Code ausgeführt wird. Die geschützten Firmware-Komponenten können BIOS-Flash, BMC-Flash, SPI-Deskriptor, Intel Management Engine und Netzteil-Firmware umfassen.