Проблема с привязкой процессоров EPYC к тем или иным производителем далеко не нова. Покупателей настольных процессоров проблема не касается, но серверный рынок устроен иначе. В некоторых случаях процессоры EPYC не получится использовать на других серверах или материнских платах. Подобное ограничение вновь вызывало горячие дискуссии, поэтому и мы решили вернуться к данной теме.
Наши коллеги ServeTheHome недавно провели тесты Dell EMC PowerEdge C6525 и вскользь упомянули, что установленные процессоры могут использоваться только в серверах Dell EMC. В 2018 году вышло первое поколение процессоров EPYC, и данная тема поднималась в тестах Dell EMC PowerEdge R7415. Вероятно, блокировка на определенных производителей вновь вызвала интерес читателей.
Vendor Lock - функция безопасности процессоров EPYC, но используется она не каждым производителем. На данный момент, похоже, Dell единственная с повсеместной реализацией данной функции. Функция базируется на Platform Secure Boot (PSB) от AMD. Кроме 64 ядер Zen 2, процессор содержит сопроцессор ARM Cortex-A5 со своей операционной системой, который, помимо прочего, обеспечивает "корень доверия". Что позволяет предотвратить изменение аппаратной или программной составляющей.
Кроме надежного хранения ключей и многих других функций, Dell использует данную технологию для ограничения работы процессора только на подписанной прошивке. При первой загрузке процессор привязывается к материнской плате и прошивке. Если процессор определяет другую прошивку, то загрузка невозможна. При замене материнской платы прошивка должна быть идентична предыдущей, иначе процессор не загрузится.
Данное поведение специально заложено AMD и Dell. Есть и отдельное заявление AMD:
"The AMD Platform Secure Boot Feature (PSB) is a mitigation for firmware Advanced Persistent Threats. It is a defense-in-depth feature. PSB extends AMD’s silicon root of trust to protect the OEM’s BIOS. This allows the OEM to establish an unbroken chain of trust from AMD’s silicon root of trust to the OEM’s BIOS using PSB, and then from the OEM’s BIOS to the OS Bootloader using UEFI secure boot. This provides a very powerful defense against remote attackers seeking to embed malware into a platform’s firmware.
An OEM who trusts only their own cryptographically signed BIOS code to run on their platforms will use a PSB enabled motherboard and set one-time-programmable fuses in the processor to bind the processor to the OEM’s firmware code signing key. AMD processors are shipped unlocked from the factory, and can initially be used with any OEM’s motherboard. But once they are used with a motherboard with PSB enabled, the security fuses will be set, and from that point on, that processor can only be used with motherboards that use the same code signing key."
Операторы серверов и их клиенты требуют как можно более жестких мер защиты. AMD как раз реализует данный способ через Platform Secure Boot (PSB). И одна из функций PSB - гарантировать загрузку только на определенной аппаратной конфигурации.
Конечно, о вторичном рынке процессоров здесь придется забыть - по крайней мере, если Б/У процессор не будет устанавливаться на материнскую плату с такой же прошивкой. Поэтому на вторичном рынке можно покупать только сервер целиком. А процессоры из сервера извлекать бесполезно. Как и покупать подобные Б/У CPU раздельно от сервера.
Сложно определить, какое влияние подобные меры окажут на вторичный рынок. Все же объемы такого рынка невелики, производители серверов в нем совершенно не заинтересованы. Ровно наоборот, они блокируют процессоры от перепродажи на вторичном рынке. Dell решила, что безопасность должна быть в приоритете. Intel тоже планирует внедрить подобные меры в следующих поколениях платформ.
В России очень любят покупать Б/У процессоры Xeon в Китае. Но скоро подобная практика может закончиться. В любом случае, следует удостовериться, что приобретаемый процессор будет работать на новой платформе.
Подписывайтесь на группы Hardwareluxx ВКонтакте и Facebook, а также на наш канал в Telegram (@hardwareluxxrussia).