Intel пока не раскрыла всех технических подробностей третьего поколения процессоров Xeon Scalable, однако об одной теме мы сегодня поговорим более детально: безопасность. С процессорами Xeon на основе Ice Lake добавляются некоторые новые функции и улучшения защиты. Среди них - Intel SGX, шифрование памяти, защита прошивки и новая криптография с аппаратным ускорением.
Критически важными компонентами для защиты являются процессор, BIOS и прошивка, а также операционная система или гипервизор. Если один из данных компонентов будет скомпрометирован, то весь программный стек выше окажется не защищенным. Тема безопасности для Intel сегодня в фокусе, что связано с публикацией многочисленных уязвимостей за последние годы. И компания пытается вернуть доверие к себе.
Важным шагом со следующим поколением Xeon станут Intel SGX (Software Guard Extensions), которые будут дополняться окружением Trusted Execution Environment (TEE). Процессоры Xeon получат расширения SGX впервые. Ранее данная функция была доступна только у процессоров Xeon-E, но теперь расширения SGX решено распространить и на процессоры Scalable. Приложения, использующие TEE, могут обходить операционную систему и гипервизора, например, чтобы получить доступ к защищенным областям памяти. В результате код и данные не нужно раскрывать для уязвимых частей программного стека, что предотвращает ряд векторов атаки. Все будущие Ice Lake Xeon получат поддержку TEE. На каждый Enclave можно защитить до 1 Тбайт кода и данных.
Чтобы минимизировать необходимые оптимизации экосистемы под TEE, можно использовать окружения, которые умеют работать с защищенными контейнерами. Однако для TEE требуется добавление поддержки соответствующего SDK.
Будущие процессоры Intel Xeon также предложат поддержку TME (Total Memory Encryption) или MKTME (Multi-Key Total Memory Encryption). Данные технологии уже имеются в расширениях ядра Linux, но аппаратной поддержки до сих пор не было. Все изменится с Ice Lake. Данные в памяти, защищенные TME, будут доступны только при наличии ключа, который создается при старте системы. Накладные вычислительные расходы на шифрование памяти составят всего 3%, хотя здесь все зависит от сценария использования.
AMD ранее представила SME (Secure Memory Encryption) и SEV (Secure Encrypted Virtualization) на весьма высоком технологическом уровне, который Intel тоже предложит вместе с TME. В случае SME можно шифровать любую часть памяти. Технология TSME (Transparent Secure Memory Encryption) позволяет шифровать всю системную память при загрузке. Здесь не требуется оптимизация приложений под шифрование, в отличие от SME.
Platform Firmware Resilience (PFR) - еще один компонент. Intel FPGA используется для организации корня доверия для проверки критически важных компонентов, таких как прошивка. В случае модификации изменения будут определяться и исправляться. Под контролем будут BIOS, прошивка платформы, микрокод процессора и образы для восстановления.
Intel PFR или FPGA отслеживает наиболее важные системные шины, чтобы определять или фильтровать трафик, который относится к вредоносному коду. То есть мы получаем нечто вроде брандмауэра, сомнительный трафик блокируется, чтобы предотвратить вероятную атаку.
Третий "кирпич" в системе безопасности третьего поколения процессоров Xeon Scalable на основе Ice Lake - аппаратное ускорение криптографических алгоритмов. Intel заявляет об ускорении популярных алгоритмов в 2-4 раза. Так что теперь не придется идти на компромисс между производительностью и защитой.
Старт Ice Lake перенесен
Intel напрямую не говорит о переносе, но третье поколение процессоров Xeon Scalable сдвинуто с конца 2020 на первый квартал 2021. Слухи здесь появились от OEM-партнеров. Изначально Intel вообще планировала представить процессоры Xeon на 10-нм ядрах Sunny Cove в 2019 году. Но Intel пришлось представлять два промежуточных 14-нм поколения Cascade Lake и Cooper Lake, а теперь график с указанным концом 2020 года тоже не выполняется.
Процессоры Ice Lake Xeon используют платформу Whitley и сокет с 4.189 контактами. Число ядер планируется увеличить с 28 до 38. Также Intel планирует впервые поддержать PCI Express 4.0 в серверах. 8-канальный интерфейс памяти обеспечит более высокую пропускную способность.
Подписывайтесь на группы Hardwareluxx ВКонтакте и Facebook, а также на наш канал в Telegram (@hardwareluxxrussia).