Первые партии Intel Xeon Scalable третьего поколения, известные как Ice Lake-SP должны появиться в конце этого года, а массовый запуск, судя по всему, будет уже в следующем. Тем не менее, Intel постепенно делится информацией о грядущих новинках. Сегодня компании рассказала о новых функциях, направленных на повышение защиты и безопасности.
Первый анонс касается расширения возможностей Intel Software Guard Extensions (SGX) и AES-шифрования памяти. Сама по себе технология SGX не новая и уже довольно давно присутствовала в клиентских процессорах, а также в Xeon E. Intel SGX позволяет создавать выделенные, зашифрованные анклавы в оперативной памяти, куда имеет доступ только приложения (Ring 3), а ОС, гипервизор и прочие компоненты такого доступа не имеют. Для общения с памятью используется отдельный набор из 18 команд.
В Ice Lake-SP получили два значительных улучшения. Во-первых, операции собственно (де-) шифрования теперь имеют аппаратную реализацию, что значительно ускоряет процесс. Во-вторых, суммарный объём анклавов тоже заметно вырос — до 512 Гбайт на сокет или до 1 Тбайт для типовой двухсокетной машины. В старых CPU объём был 64-256 Мбайт, так что в такие анклавы приходилось складывать только наиболее ценные данные. Второе важное нововведение — поддержка полного прозрачного шифрования всей оперативной памяти Total Memory Encryption (TME), тоже с аппаратным ускорением.
Увы, Intel пока не делится подробностями об особенностях реализации новых функций. В частности, нет данных о том, каково максимальное количество анклавов и, соответственно, отдельных ключей шифрования может быть в системе, а также о том, как новые функции сочетаются с памятью Optane PMem, которая имеет собственный механизм принудительного шифрования в каждом модуле. Вероятно, в текущем виде в реальной системе придётся отказаться от одной из технологий.
Появление новых технологий шифрования памяти важно для концепции конфиденциальных вычислений (Confidential Computing), которая крайне актуальна для стремительно набирающих в условиях пандемии облачных сред — шифрования и изоляция данных в многопользовательской среде критически важна. Такие возможности в том или ином виде уже предлагают или изучают все крупные облачные провайдеры. А поддержка «старых» SGX присутствует в Microsoft Azure c 2015 года. Правда, Intel пока находится в догоняющих — AMD EPYC 7002 с аппаратным ускорением шифрования памяти SME и SEV появились больше года назад и постепенно проникают в облака.
Частично о нововведениях Intel уже рассказывала на Hot Chips 32. И сегодня ещё раз напомнила, что в Ice Lake-SP будет целый ряд новых инструкций для ускорения шифрования, генерации ключей, подписей, хеширования и так далее. Все они нужны для типовых операций, которые используются в наиболее распространённом ПО . Как и прежде, Intel активно сотрудничает с разработчиками, чтобы поддержка новых функций была готова к моменту выходу Ice Lake-SP на массовый рынок. Она даже организовала консорциум Confidential Computing Consortium.
Наконец, последняя новинка — Intel Platform Firmware Resilience (Intel PFR), система защиты от низкоуровневых атак на платформу в целом (по стандарту NIST-800-193). Она включает отдельную FPGA, которая контролирует работу других компонентов: микросхемы памяти BIOS и BMC, системные шины, Intel ME и прочее firmware, включая прошивку блоков питания. PFR позволяет определить и предотвратить вмешательство в низкоуровневые компоненты, а использование FPGA позволит конечным производителям кастомизировать системы под нужды конкретных заказчиков и индустрий в целом.
