L'analyse en tant que fournisseurs de services cloud s'occupe de plus en plus des alternatives d'architecture x86, Intel et AMD essaient de trouver des moyens de gagner ou de garder les favoris sur le marché - et cela comprend la cuisson dans les fonctionnalités de sécurité et la formation de services et de partenariats.
Les deux géants semi-conducteurs ont annoncé cette semaine les initiatives de sécurité du cloud cette semaine.Lors de l'événement Intel Vision mercredi, Intel a révélé son service de vérification à distance Amber Project pour les fournisseurs de cloud, entre autres choses.Une veille, Google Cloud a détaillé une collaboration avec AMD pour durcir la sécurité des processeurs EPYC du concepteur de puces.
Les efforts de duel tournent tous deux autour de l'informatique confidentielle, qui vise à protéger les données sensibles en la cryptant en mémoire en utilisant des environnements d'exécution dits de confiance basés sur le matériel, également appelés enclaves sécurisées, qui sont fournies par les dernières puces de serveur d'Intel et AMD.Cette technologie est soutenue par des acteurs de l'industrie, y compris ARM, qui a également un calcul confidentiel dans son architecture.
Au cœur de l'informatique confidentielle se trouve le désir de protéger les données et le code sensibles non seulement des autres logiciels et utilisateurs sur un serveur cloud, mais aussi les administrateurs de la machine.Il s'adresse aux clients qui souhaitent traiter les informations hors site et être assurés que même un initié voyou, ou un composant hyperviseur ou logiciel système compromis ou malveillant, au centre de données distant peut interférer avec ou espionner sur ces données.
Alors qu'Intel a historiquement été le fabricant dominant des processeurs pour les fournisseurs de cloud, les faux pas de fabrication de la société ont permis à AMD de voler des parts de marché et de doubler son activité cloud pendant plusieurs trimestres avec des processeurs plus rapides et plus élevés.
Maintenant qu'Intel s'efforce de regagner le leadership technologique dans le cadre d'un plan de retour ambitieux, les deux concurrents sont confrontés à une menace sous la forme de fournisseurs de cloud adoptant des architectures de puces alternatives, principalement ARM, pour fournir des services plus rapides et plus efficaces.
Nouveau «Trust-As-A-Service» d'Intel
C'est dans cette toile de fond qu'Intel a annoncé mercredi Project Amber, une offre logicielle en tant que service qui agit comme une autorité indépendante pour vérifier à distance la fiabilité d'un environnement informatique confidentiel dans les infrastructures cloud et edge.
Intel prévoit d'offrir le projet Amber en tant que service multi-cloud qui prend en charge plusieurs types d'enclaves sécurisés accessibles à partir de conteneurs à métal nu, de machines virtuelles et de conteneurs dans les machines virtuelles.
La version initiale ne prendra en charge que les enclaves sécurisées protégées par la fonctionnalité Intel Software Guard Extensions (SGX), Natch, qui a fait ses débuts dans les processeurs de Xeon traditionnels l'année dernière avec le lancement des puces très calées d'Ice Lake Server d'Intel.Le fabricant de puces a déclaré qu'il espérait étendre la couverture aux enclaves fournies par d'autres sociétés à l'avenir.
Intel prévoit de créer un écosystème logiciel autour du service, affirmant que son personnel travaille avec des fournisseurs de logiciels indépendants pour créer des services au-dessus du projet Amber, qui sera géré par des outils logiciels et des API.
Plus d'informations sur la sécurité Intel
Parmi les autres annonces de sécurité faites lors de l'événement Intel Vision, Intel CTO Greg Lavender a déclaré que son employeur prévoyait d'activer les "mises à jour sans firmware" dans les futurs microprocesseurs Xeon.
Cela signifie que les opérateurs de Datacenter n'auront pas à redémarrer Boxen pour appliquer les mises à jour du micrologiciel, ce qui, selon Lavender.Le processus nécessitera une suspension des demandes, cependant.
"Ces exigences provenaient des vendeurs de nuages car ils doivent corriger [à une] très grande échelle chaque jour.Et donc vous ne pouvez pas vous permettre de redémarrer toutes ces machines.Vous devez simplement faire des améliorations transparentes ", a-t-il dit.
Intel a également annoncé qu'il développait un "pipeline de technologie de cryptographie riche" qui protégera contre les attaques informatiques quantiques.La société a déclaré que ces efforts incluent l'accélération de la cryptographie intégrée qui a été introduite dans les processeurs Xeon Scoussables de troisième génération de l'année dernière.
Dans le cadre d'introduction de la vision de mercredi, le CTO Greg Lavender a qualifié le projet Amber de "solution de confiance en tant que service" et a déclaré qu'il établit des environnements fiables à travers le processus d'attestation afin que les utilisateurs puissent se sentir en sécurité en cours d'exécution "Données critiques à la mission"le nuage.
"Dans cette architecture, l'autorité d'attestation n'est plus liée au fournisseur d'infrastructure.Ce découplage aide à fournir l'objectivité et l'indépendance pour améliorer l'assurance de la confiance aux utilisateurs et aux développeurs d'applications ", a déclaré Lavender, qui dirige l'organisation logicielle d'Intel.
Intel devrait gérer un pilote pour Project Amber avec certains clients plus tard cette année.Un porte-parole a refusé de fournir des détails sur la façon dont il prévoit de monétiser le projet Amber, mais avec sa gamme SaaS, nous soupçonnons qu'elle pourrait rejoindre le portefeuille en expansion des produits de logiciels commerciaux du fabricant de puces que Pat Gelsinger espère que Intel sera plus compétitif.
Lavender a déclaré qu'Intel travaille pour faciliter l'utilisation des entreprises Intel SGX avec un projet open-source appelé Gramine qui permet aux développeurs d'exécuter des applications Linux non modifiées dans les enclaves SGX.Ceci est important, car la fonctionnalité a historiquement obligé les développeurs à modifier le code des applications pour utiliser SGX, qui a créé des obstacles pour une adoption plus large de l'industrie.
"Gramine fournit une méthode" bouton-poussoir "pour protéger facilement les applications et les données.Cela signifie une solution de sécurité de bout en bout plus rapide, plus sûre et plus évolutive avec un minimum d'effort ", a déclaré Lavender.
AMD approfondit la collaboration avec Google Cloud
Alors qu'Intel a introduit SGX tout en 2013, AMD a battu son rival sur le marché des centres de données avec les premiers processeurs du serveur grand public à incorporer des capacités informatiques confidentielles avec les débuts de sa famille EPYC en 2017.AMD a ensuite rendu les choses plus viables pour les fournisseurs de cloud en augmentant considérablement le nombre de clés de chiffrement dans la deuxième génération d'EPYC en 2019.
Le fait qu'AMD était le seul concepteur de puces à l'époque avec des capacités informatiques confidentielles dans les processeurs de serveurs grand public était l'une des principales raisons pour lesquelles Google Cloud a fini par choisir AMD plutôt qu'Intel pour alimenter son produit confidentiel de machines virtuelles, qui a été lancée en 2020.
Google Cloud a déclaré que la facilité d'utilisation et l'impact à basse performance étaient deux autres raisons pour lesquelles il a choisi la virtualisation du cryptage sécurisé d'AMD (SEV), la principale fonctionnalité permettant des capacités informatiques confidentielles dans EPYC.Malgré l'expansion d'Intel SGX dans les processeurs Xstream Xeon en 2021, Google Cloud n'a pas encore adopté SGX pour de nouveaux produits dans son portefeuille informatique confidentiel.
Au lieu de cela, le fournisseur de cloud a approfondi son partenariat avec AMD grâce à un examen de sécurité collaboratif et approfondi des capacités de sécurité d'Epyc, qui a été annoncée mardi.L'examen a permis au concepteur de puces d'identifier et de fixer des vulnérabilités dans le coprocesseur sécurisé qui permet SEV et d'autres fonctionnalités informatiques confidentielles dans les puces EPYC.
Les résultats de cette revue technique sont ici, et il a révélé 19 faiblesses de sécurité, qui ont été abordées par AMD dans des correctifs qui ont été publiés au cours des derniers mois.
L'audit est un gros problème car il obligeait AMD à donner aux équipes de sécurité de Google Cloud à l'accès au firmware et aux composants matériels du concepteur de puces afin que les chercheurs puissent examiner chaque détail de l'implémentation d'AMD et concevoir des tests personnalisés.
Après tout, il y a eu de nombreuses fois où des chercheurs indépendants ont découvert des défauts dans les Intel SGX et AMD SEV par eux-mêmes, donc AMD est incité à travailler avec un fournisseur de cloud qui achète une quantité substantielle de ses processeurs.
Google Cloud a effectué l'examen alors qu'il cherche à étendre son portefeuille informatique confidentiel, et le fournisseur de cloud a déclaré que l'audit lui avait donné la confiance que ces produits répondent à une "barre de sécurité élevée" car ses machines virtuelles confidentielles sont désormais "protégées contre un large éventail d'attaques."
"En fin de compte, nous bénéficions tous d'un écosystème sécurisé sur lequel les organisations comptent pour leurs besoins technologiques et c'est pourquoi nous sommes incroyablement reconnaissants de notre forte collaboration avec AMD sur ces efforts", a déclaré Royal Hansen, un génie de la sécuritéVeep chez Google.
Alors qu'Intel n'a pas encore gagné sur Google Cloud avec SGX, les capacités informatiques confidentielles du géant semi-conducteur ont été adoptées par Microsoft Azure et IBM, parmi les petits fournisseurs d'infrastructure.Azure et IBM ont également adhéré aux fonctionnalités concurrentes d'AMD.
Avec une société de recherche estimant le marché informatique confidentiel pour atteindre 54 milliards de dollars d'ici 2026, les derniers efforts d'Intel et AMD soulignent comment les deux sociétés considèrent la technologie sous-jacente comme un moyen important de gagner la faveur avec les fournisseurs de cloud à l'avenir.Et ils se préparent sans aucun doute pour que d'autres fournisseurs de puces entourent la mêlée avec leurs propres capacités.®
Bootnote
Intel a introduit SGX dans les CPU Xeon E de l'entreprise pour les serveurs d'entrée de gamme en 2017, mais ils n'ont été fabriqués que pour les serveurs à socle, et ils ne faisaient pas partie de la gamme d'évolutiels Xontam.
Get our Tech Resources