Análisis a medida que los proveedores de servicios en la nube buscan cada vez más a las alternativas de arquitectura X86, Intel y AMD están tratando de encontrar formas de ganar o mantener el favor en el mercado, y esto incluye hornear en características de seguridad y formaciones de servicios y asociaciones.
Ambos gigantes de semiconductores anunciaron iniciativas de seguridad en la nube esta semana.En el evento Intel Vision el miércoles, Intel reveló su servicio de verificación remota del Proyecto Amber para proveedores de la nube, entre otras cosas.Un día antes, Google Cloud detalló una colaboración con AMD para endurecer la seguridad de los procesadores EPYC del diseñador de chips.
Los esfuerzos de duelo giran en torno a la computación confidencial, cuyo objetivo es proteger los datos confidenciales al encriptarlo en la memoria utilizando entornos de ejecución confiables basados en hardware, también conocidos como enclaves seguros, que son proporcionados por los últimos chips de servidor de Intel y AMD.Esta tecnología está respaldada por actores de la industria, incluido Arm, que también tiene computación confidencial en su arquitectura..
En el corazón de la computación confidencial está el deseo de proteger los datos y el código confidenciales no solo de otro software y usuarios en un servidor en la nube sino también de los administradores de la máquina..Está dirigido a los clientes que desean procesar información fuera de las instalaciones y estar seguros de que ni siquiera una información privilegiada, o un componente de software de hipervisor o sistema de sistema comprometido o malicioso, en el centro de datos remoto puede interferir o espiar esos datos.
Si bien Intel ha sido históricamente el fabricante dominante de las CPU para los proveedores de la nube, los pasos en falso de fabricación de la compañía han permitido a AMD robar cuota de mercado y duplicar su negocio en la nube durante varios sectores con procesadores más rápidos y de mayor contenido de núcleo fabricados por TSMC por TSMC.
Ahora que Intel está trabajando para recuperar el liderazgo tecnológico como parte de un ambicioso plan de regreso, los dos rivales enfrentan una amenaza en forma de proveedores de nubes que adoptan arquitecturas alternativas de chips, principalmente ARM, para proporcionar servicios más rápidos y eficientes..
Nuevo 'Trust-As-a-Service' de Intel
Es en este contexto que Intel anunció el miércoles Project Amber, una oferta de software como servicio que actúa como una autoridad independiente para verificar de forma remota la confiabilidad de un entorno informático confidencial en la infraestructura de la nube y el borde.
Intel planea ofrecer Project Amber como un servicio de múltiples nubes que admite múltiples tipos de enclaves seguros accesibles desde contenedores de metales desnudos, máquinas virtuales y contenedores en máquinas virtuales.
La versión inicial solo admitirá enclaves seguros protegidos por la función Intel Software Guard Extensions (SGX), Natch, que debutó en los procesadores principales de Xeon el año pasado con el lanzamiento de los muy retrasados Chips de Servidor de Ice Lake de Intel.El fabricante de chips dijo que espera extender la cobertura a los enclaves proporcionados por otras compañías en el futuro..
Intel planea crear un ecosistema de software en torno al servicio, diciendo que su personal está trabajando con proveedores de software independientes para crear servicios en la parte superior del Proyecto Amber, que será administrado por herramientas de software y API.
Más noticias de seguridad Intel
Entre los otros anuncios de seguridad realizados en el evento Intel Vision, Intel CTO Greg Lavender dijo que su empleador planea habilitar "actualizaciones de firmware sin interrupciones" en futuros microprocesadores de Xeon.
Esto significa que los operadores de centros de datos no tendrán que reiniciar Boxen para aplicar actualizaciones de firmware, lo que Lavender dijo que es un gran problema para los proveedores de la nube que administran grandes flotas de servidores.Sin embargo, el proceso requerirá que las aplicaciones sean suspendidas.
"Esos requisitos vinieron de los proveedores de la nube porque tienen que parchear [a una] gran escala muy grande todos los días.Y por eso no puedes permitirte reiniciar todas estas máquinas.Tienes que hacer actualizaciones sin problemas ", dijo.
Intel también anunció que está desarrollando una "tubería de tecnología de criptografía rica" que protegerá contra ataques de computadora cuántica.La compañía dijo que estos esfuerzos incluyen la aceleración de criptografía incorporada que se introdujo en los procesadores escalables Xeon de tercera generación del año pasado..
En la apertura de Intel Vision del miércoles, Intel CTO Greg Lavender llamó al Proyecto Amber una "solución de confianza como un servicio" y dijo que establece entornos confiables a través del proceso de certificación para que los usuarios puedan sentirse seguros "Datos sensibles y de misión sensibles"la nube.
"En esta arquitectura, la autoridad de certificación ya no está vinculada al proveedor de infraestructura.Este desacoplamiento ayuda a proporcionar objetividad e independencia para mejorar la garantía de confianza a los usuarios y desarrolladores de aplicaciones ", dijo Lavender, quien dirige la organización de software de Intel.
Se espera que Intel ejecute un piloto para Project Amber con clientes selectos a finales de este año.Un portavoz se negó a proporcionar detalles sobre cómo planea monetizar el Proyecto Amber, pero con su inclinación de SaaS, sospechamos que podría unirse a la cartera de productos de software comercial del fabricante de chips que el CEO Gelsinger espera que Intel sea más competitivo.
Lavender dijo que Intel está trabajando para facilitar que las empresas usen Intel SGX con un proyecto de código abierto llamado Gramine que permite a los desarrolladores ejecutar aplicaciones Linux sin modificaciones en SGX Enclaves.Esto es importante, porque históricamente la característica ha requerido que los desarrolladores modifiquen el código de aplicaciones para hacer uso de SGX, que ha creado obstáculos para la adopción de la industria en general..
"Gramine proporciona un método de 'botón de presión' para proteger fácilmente las aplicaciones y los datos.Esto significa una solución de seguridad de extremo a extremo más rápida, más segura y más escalable con un esfuerzo mínimo ", dijo Lavender.
AMD profundiza la colaboración con Google Cloud
Mientras que Intel introdujo SGX hasta 2013, AMD superó a su rival en el mercado de centros de datos con las primeras CPU del servidor convencional para incorporar capacidades informáticas confidenciales con el debut de su familia EPYC en 2017.AMD luego hizo las cosas más viables para los proveedores de nubes al aumentar significativamente el número de claves de cifrado en la segunda generación de EPYC en 2019.
El hecho de que AMD era el único diseñador de chips en ese momento con capacidades informáticas confidenciales en las CPU del servidor convencional fue una de las principales razones por las que Google Cloud terminó eligiendo AMD sobre Intel para alimentar su producto de máquinas virtuales confidenciales, que se lanzó en 2020.
Google Cloud dijo que la facilidad de uso y el impacto de bajo rendimiento fueron otras dos razones por las que eligió la virtualización segura de cifrado de AMD (SEV), la característica principal que permite las capacidades informáticas confidenciales en EPYC.A pesar de la expansión de Intel SGX en los procesadores principales de Xeon en 2021, Google Cloud aún no ha adoptado SGX para nuevos productos en su cartera de computación confidencial.
En cambio, el proveedor de la nube ha profundizado su asociación con AMD a través de una revisión de seguridad colaborativa y en profundidad de las capacidades de seguridad de EPYC, que se anunció el martes.La revisión permitió al diseñador de chips identificar y arreglar vulnerabilidades en el coprocesador seguro que permite a SEV y otras características de computación confidencial en chips EPYC.
Los resultados de esa revisión técnica están aquí, y reveló 19 debilidades de seguridad, que fueron abordadas por AMD en parches que se publicaron en los últimos meses.
La auditoría es un gran problema porque requirió AMD para darles a los equipos de seguridad de Google Cloud acceso a los componentes patentados de firmware y hardware del diseñador de chips para que los investigadores pudieran analizar cada detalle de la implementación de AMD y diseñar pruebas personalizadas.
Después de todo, ha habido muchas veces en que los investigadores independientes han descubierto fallas en Intel SGX y AMD SEV por su cuenta, por lo que AMD tiene un incentivo para trabajar con un proveedor de la nube que está comprando una cantidad sustancial de sus procesadores.
Google Cloud realizó la revisión, ya que busca expandir su cartera de computación confidencial, y el proveedor de la nube dijo que la auditoría le dio la confianza de que dichos productos se encuentran con una "barra de seguridad elevada", ya que sus máquinas virtuales confidenciales ahora están "protegidas contra una amplia gama de ataques."
"Al final del día, todos nos beneficiamos de un ecosistema seguro en el que las organizaciones confían para sus necesidades tecnológicas y es por eso que estamos increíblemente apreciando nuestra fuerte colaboración con AMD en estos esfuerzos", dijo Royal Hansen, una ingeniería de seguridad.Veep en Google.
Si bien Intel aún no ha ganado Google Cloud con SGX, las capacidades informáticas confidenciales del gigante de los semiconductores han sido adoptadas por Microsoft Azure e IBM, entre los proveedores de infraestructura más pequeños.Azure e IBM también han comprado las características competitivas de AMD.
Con una empresa de investigación que estima el mercado de la computación confidencial para alcanzar los $ 54 mil millones para 2026, los últimos esfuerzos de Intel y AMD subrayan cómo ambas compañías ven la tecnología subyacente como una forma importante de ganar favor con los proveedores de la nube en el futuro.Y sin duda se están preparando para que otros proveedores de chips ingresen la refriega con sus propias capacidades.®
Nota de bota
Intel introdujo SGX en las CPU Xeon E de la compañía para los servidores de nivel de entrada en 2017, pero solo estaban hechos para servidores de sockets, y no formaban parte de la alineación escalable de Xeon..
Get our Tech Resources