独立增强的英特尔软件防护扩展 SGX
时间:2022-04-20 09:57:01 | 来源:行业动态
时间:2022-04-20 09:57:01 来源:行业动态
在英特尔技术专家的介绍中,我们了解到当前云计算系统所面临的核心安全问题,以及英特尔软件防护扩展SGX所提供的安全解决之道。
SGX的全称是Intel Software Guard Extension。为什么叫扩展?软件防护扩展就是一个新的指令集扩展,方便我们的软件开发者可以去直接通过调用CPU的指令来实现平台安全隔离的技术。它是为应用程序中的数据提供独立于操作系统和硬件配置的增强安全防护,英特尔强调的并不是它对内存的加解密能力,而是提供在内存当中的隔离区间,帮助软件开发者进行软件设计的安全产品。
现在大家非常关注数据安全,特别是很多客户或者企业把数据放到云上,他们就非常关注三种状况。第一种,他们希望在云端可以加密存储,二是在云端和自己的本地数据中心之间会有一个加密传输,三是数据如果落到服务器当中,对服务器进行运算的时候是在内存当中和服务器CPU进行交互的,为了保证全生命周期的数据安全,很有必要对这三种数据状态进行加密保护。
随着英特尔SGX开始在数据中心得到应用,工作负载在内存里面对CPU进行运算的时候,就可以在指定的内存区域里,和当前的操作系统、硬件配置隔离开,把敏感数据进行隔离使用。简单来说就是有一个CPU硬件,上面有一些系统内存,有一些数据如果是加载到系统内存当中,需要由CPU来回调动的时候,有一种机制,可以为单独的应用程序划分出单独区域,由CPU进行单独的加解密操作。这样。放在这里面的数据,包括部分代码和整个底层的操作系统、虚拟机管理程序这一系列高权限软件的访问都会被禁止。这样,攻击者或黑客即便已经控制了系统上的虚拟机管理程序,也没有办法去非法访问到安全飞地中受保护的数据和代码。
最近隐私计算联盟推荐整个业态都使用像SGX这种基于硬件的可信执行环境。它就是提供了一个全新形态的安全和隐私保护,目标是能够帮助各级组织把他们敏感的工作负载放心地放到公有云或是远端节点上。这样就可以在本地加密,传输到远端模块,在云上进行加密存储。在运算的时候,也是在内存当中由SGX提供了这种内存隔离飞地来进行必要的敏感数据运算。
目前SGX技术已经开始应用在阿里、腾讯、百度等企业的相关产品之中。
除此之外,在英特尔第三代英特尔 至强 可扩展处理器上,还提供了针对密码操作硬件加速的全新指领集。可以在OpenSSL RSA 2048位的签名上,相比上一代CPU,单线程情况下有5.6倍的提升;在进行AES-GCM对称加密方式的情况下,相对上一代产品,单线程情况下有3.3倍的提升。
在线咨询
