H​ir​detés

2018. május 23., szerda

S​z​p​on​zor​u​n​k​

Klixnetwork.huKlixnetwork.hu

Megreformálja a szerverek biztonságát az AMD Zen

  • (f)
  • (p)
Írta: | | Forrás: PROHARDVER!

Az SME és a SEV radikálisan javít a x86-os szerverek megbízhatóságán az adatbiztonságot tekintve.

Az AMD idén már harmadjára árul el némi részletet a Zen architektúrára épülő processzoráról. Először augusztus közepén, majd egy hétre rá derültek ki fontos információk, amelyeket a linkelt két hír taglal, így az ezeket nem írjuk le újra. A szerverpiacot célzó fejlesztés azonban a biztonság szempontjából nagyon különleges lesz, ugyanis az AMD-SP, azaz az AMD Secure Processor révén olyan funkciókat kap, amelyek eddig elérhetetlenek voltak az x86-os szerverek területén belül. Ez az ARM Cortex-A5-os segédmagra alapozó egység egyébként az ARM TrustZone technológiája köré épül.

Az egyik új funkció az AMD SME, azaz a Secure Memory Encryption, ami egy rendszermemóriát titkosító rendszer, ami laptábla-bejegyzések szintjén végzi el ezt a folyamatot. Ehhez a memóriavezérlők ki vannak egészítve egy-egy 128 bites AES kódoló és dekódoló motorral, amely véletlenszerű kulcsot generál a rendszer indításakor, és ezt a kulcsot semmilyen szoftver nem fogja látni, mivel a menedzsmentet teljes egészében az AMD-SP végzi majd el. Az egész folyamat egyébként némileg növeli a memória elérésének késleltetését.

Az AMD SME-hez szánt memóriavezérlő
Az AMD SME-hez szánt memóriavezérlő

Az AMD SME kétféle módban lesz üzemeltethető. Többek között opció a teljes memóriatitkosítás. Ez a DRAM esetében képes kivédeni az interfész snooping és hasonló támadásokat, míg NVDIMM mellett teljes védelmet nyújt az eltávolított modul tartalmának kinyerésével szemben. Lehet alkalmazni részleges memóriatitkosítást is, ami értelemszerűen csak a memória egy területét védi, míg a többi adat titkosítás nélkül lesz tárolva. Ez kifejezetten akkor hasznos, ha csak a virtuális gépekre vonatkozóan van szükség a titkosításra. Egyfajta extra funkció még a TSME, azaz a transzparens formában történő teljes titkosítás. Ezt a BIOS-ban lehet majd engedélyezni, és a szoftverkörnyezet támogatása nélkül üzemképes, így az SME-t direkten nem támogató operációs rendszerekkel is működik.

A másik új funkció az AMD SEV, azaz a Secure Encrypted Virtualization, ami a tradicionális virtualizációs technológiák egy komoly problémáját oldja meg. A jelenlegi architektúrákban minden szoftver több privilégiumszinten, szerveres szlenggel élve úgynevezett gyűrűben fut. A probléma ezzel az, hogy egy tipikusan felépített rendszerben a hypervisor hozzáférhet a vendégek, azaz a kliensek adataihoz, ami nyilván nem szerencsés. A SEV ezt a modellt dönti meg teljesen, ugyanis az AMD konstrukciójával a hypervisor többet nem érheti el a vendégek adatait. A SEV konstrukciója a kriptográfiailag izolált szintekre épül, így a korábbi rendszer biztonsági problémái ezt a fajta virtualizációt már nem érinti. Ugyanakkor a kommunikáció a hypervisor és a vendég szintek között továbbra is lehetséges, de ez nagymértékben kontrollálható lesz.

A tradicionális és az AMD SEV modell
A tradicionális és az AMD SEV modell

A technikai oldalról elmondható, hogy a SEV egy kiterjesztése lesz az AMD-V architektúrának. A funkció engedélyezésekor a hardver felcímkézi az összes kódot és adatot. Ez a címke a processzoron belül végig az adat mellett marad, ezzel előzve meg, hogy az adatot a tulajdonoson kívül más is használja. A lapkán kívül 128 bites AES kódolás védi az információkat, vagyis ahogy az adat belép a lapkába, vagy kilép belőle kódoláson és dekódoláson megy át az adott címkéhez tartozó kulcsot használva. Az eredmény az, hogy ha egy bizonyos adatot a jogosulton kívül más akar elérni, ideértve a hypervisort is, akkor csak egy kódolt formát lát belőle, amivel nem igazán tud majd mit kezdeni. A kódolás és a dekódolás egyébként itt is a memóriavezérlőbe épített motorral történik.

Az AMD SEV architektúra
Az AMD SEV architektúra

A SEV az AMD szerint elsődlegesen az IaaS (Infrastructure as a Service) adatközpontok terjedésével kapcsolatos problémára reagál, mivel ezek egyre olcsóbban kínálnak megfelelő alapot az piac számára, így a jövőben egyre több épül majd ki. Ugyanakkor a tradicionális virtualizációs modellek ezeknél egyszerűen nem biztonságosak. Jó megoldásnak számít a Microsoft BitLocker, illetve a LUKS, amelyek az adattárolást titkosítják, míg az adatfeldolgozást szoftverekkel próbálja az ipar biztonságossá tenni, de ezek rendre elbuknak a támadásokkal szemben. A SEV lényegében ide vezetne be egy hardveresen asszisztált védelmet, ami a szoftveres opcióknál nagyságrendekkel biztonságosabb alapot kínálna, így a cégek ilyen formában bízhatnak az IaaS adatközpontokban, hiszen maga az adminisztrátor sem férhet hozzá az adataikhoz.

Gyártók, szolgáltatók

Hir​det​és​

Copyright © 2000-2018 PROHARDVER Informatikai Kft.