獨(dú)立增強(qiáng)的英特爾軟件防護(hù)擴(kuò)展 SGX

時(shí)間：2022-04-20 09:57:01 | 來源：行業(yè)動(dòng)態(tài)

時(shí)間：2022-04-20 09:57:01 來源：行業(yè)動(dòng)態(tài)

在英特爾技術(shù)專家的介紹中，我們了解到當(dāng)前云計(jì)算系統(tǒng)所面臨的核心安全問題，以及英特爾軟件防護(hù)擴(kuò)展SGX所提供的安全解決之道。



SGX的全稱是Intel Software Guard Extension。為什么叫擴(kuò)展？軟件防護(hù)擴(kuò)展就是一個(gè)新的指令集擴(kuò)展，方便我們的軟件開發(fā)者可以去直接通過調(diào)用CPU的指令來實(shí)現(xiàn)平臺(tái)安全隔離的技術(shù)。它是為應(yīng)用程序中的數(shù)據(jù)提供獨(dú)立于操作系統(tǒng)和硬件配置的增強(qiáng)安全防護(hù)，英特爾強(qiáng)調(diào)的并不是它對(duì)內(nèi)存的加解密能力，而是提供在內(nèi)存當(dāng)中的隔離區(qū)間，幫助軟件開發(fā)者進(jìn)行軟件設(shè)計(jì)的安全產(chǎn)品。

現(xiàn)在大家非常關(guān)注數(shù)據(jù)安全，特別是很多客戶或者企業(yè)把數(shù)據(jù)放到云上，他們就非常關(guān)注三種狀況。第一種，他們希望在云端可以加密存儲(chǔ)，二是在云端和自己的本地?cái)?shù)據(jù)中心之間會(huì)有一個(gè)加密傳輸，三是數(shù)據(jù)如果落到服務(wù)器當(dāng)中，對(duì)服務(wù)器進(jìn)行運(yùn)算的時(shí)候是在內(nèi)存當(dāng)中和服務(wù)器CPU進(jìn)行交互的，為了保證全生命周期的數(shù)據(jù)安全，很有必要對(duì)這三種數(shù)據(jù)狀態(tài)進(jìn)行加密保護(hù)。

隨著英特爾SGX開始在數(shù)據(jù)中心得到應(yīng)用，工作負(fù)載在內(nèi)存里面對(duì)CPU進(jìn)行運(yùn)算的時(shí)候，就可以在指定的內(nèi)存區(qū)域里，和當(dāng)前的操作系統(tǒng)、硬件配置隔離開，把敏感數(shù)據(jù)進(jìn)行隔離使用。簡(jiǎn)單來說就是有一個(gè)CPU硬件，上面有一些系統(tǒng)內(nèi)存，有一些數(shù)據(jù)如果是加載到系統(tǒng)內(nèi)存當(dāng)中，需要由CPU來回調(diào)動(dòng)的時(shí)候，有一種機(jī)制，可以為單獨(dú)的應(yīng)用程序劃分出單獨(dú)區(qū)域，由CPU進(jìn)行單獨(dú)的加解密操作。這樣。放在這里面的數(shù)據(jù)，包括部分代碼和整個(gè)底層的操作系統(tǒng)、虛擬機(jī)管理程序這一系列高權(quán)限軟件的訪問都會(huì)被禁止。這樣，攻擊者或黑客即便已經(jīng)控制了系統(tǒng)上的虛擬機(jī)管理程序，也沒有辦法去非法訪問到安全飛地中受保護(hù)的數(shù)據(jù)和代碼。

最近隱私計(jì)算聯(lián)盟推薦整個(gè)業(yè)態(tài)都使用像SGX這種基于硬件的可信執(zhí)行環(huán)境。它就是提供了一個(gè)全新形態(tài)的安全和隱私保護(hù)，目標(biāo)是能夠幫助各級(jí)組織把他們敏感的工作負(fù)載放心地放到公有云或是遠(yuǎn)端節(jié)點(diǎn)上。這樣就可以在本地加密，傳輸?shù)竭h(yuǎn)端模塊，在云上進(jìn)行加密存儲(chǔ)。在運(yùn)算的時(shí)候，也是在內(nèi)存當(dāng)中由SGX提供了這種內(nèi)存隔離飛地來進(jìn)行必要的敏感數(shù)據(jù)運(yùn)算。

目前SGX技術(shù)已經(jīng)開始應(yīng)用在阿里、騰訊、百度等企業(yè)的相關(guān)產(chǎn)品之中。

除此之外，在英特爾第三代英特爾 至強(qiáng) 可擴(kuò)展處理器上，還提供了針對(duì)密碼操作硬件加速的全新指領(lǐng)集?？梢栽贠penSSL RSA 2048位的簽名上，相比上一代CPU，單線程情況下有5.6倍的提升；在進(jìn)行AES-GCM對(duì)稱加密方式的情況下，相對(duì)上一代產(chǎn)品，單線程情況下有3.3倍的提升。