Понимание расширений Intel® Software Guard (Intel® SGX)

На сегодняшний день решения в сфере безопасности обеспечивают шифрование данных в хранилище и при их отправке в сети, но данные могут быть уязвимы при их активной обработке в памяти. Общая база данных об уязвимостях и факторах риска (CVE) 1, например, в настоящее время содержит более 11 000 потенциальных уязвимостей, которые могут быть использованы, из них 34 процента до сих пор не имеют мер снижения рисков. Intel® SGX, обходя программные уровни операционной системы и виртуальной машины, обеспечивают значительную дополнительную защиту от многих указанных видов атак, повышают безопасность данных и отвечают повышенным требованиям конфиденциальности вычислений. Они предоставляют аппаратное решение безопасности, которое использует шифрование для изменения способа доступа к памяти, предоставляя анклавы защищенной памяти для запуска приложений и их данных. Intel® SGX также позволяют запрашивать проверку приложения и используемого аппаратного обеспечения.

Что такое атака в побочных каналах, и нужно ли мне беспокоиться?

Атаки в побочных каналах основаны на использовании информации, такой как состояние питания, излучение и время ожидания непосредственно от процессора, — для косвенного получения информации о паттернах использования данных. Эти атаки — весьма сложные, и их нелегко осуществлять; для них потенциально требуются бреши в защите ЦОД на нескольких уровнях: физическом, сетевом и системном.

Хакеры, как правило, идут по пути наименьшего сопротивления. В настоящее время это обычно означает атаки на программное обеспечение. Хотя Intel® SGX не предназначены специально для защиты от атак в побочных каналах, они обеспечивают своего рода изоляцию кода и данных, которая повышает барьер, защищающий от атак. Корпорация Intel продолжает тесное сотрудничество с нашими клиентами и исследовательским сообществом для выявления потенциальных рисков в побочных каналах и их устранения. Несмотря на существование уязвимостей в побочных каналах, Intel® SGX остаются ценным инструментом, поскольку обеспечивают мощный дополнительный уровень защиты.

Следует ли мне доверять Intel® SGX?

Intel® SGX — наиболее испытанная, изученная и распространенная аппаратная среда выполнения Trusted Execution (TEE) для ЦОД, обладающая наименьшей доступной поверхностью атаки в системе. Если у вас имеются строгие требования к конфиденциальности данных и безопасности, Intel® SGX предлагает неоспоримые стратегические преимущества.

Хорошая новость для клиентов, защищенных посредством Intel® SGX, заключается в том, что помимо защиты от множества более распространенных программных атак, механизмы аттестации Intel® SGX также позволяют запрашивать проверку того, что ваше приложение не было скомпрометировано и что процессор, который оно использует, имеет новейшие обновления безопасности.

Intel® SGX защищают от тысяч2известных и неизвестных угроз, для многих из которых до сих пор отсутствуют иные меры снижения рисков. Ваш код и данные остаются значительно более защищенными с Intel® SGX, чем без них.

Часто задаваемые вопросы

Часто задаваемые вопросы

Расширения Intel® Software Guard (SGX Intel®) обеспечивают дополнительный уровень защиты, помогая уменьшить поверхность атаки. SGX Intel® помогают защищать код и данные от атак вредоносного ПО и неавторизованных разрешений в процессе обработки данных. Разработчики могут создавать надежные среды выполнения (TEE) непосредственно в домене процессора/памяти.

Атаки в побочных каналах предназначены для сбора внешней информации от процессора, такой как состояния питания, излучение и время ожидания, с целью получения информации об активности и значениях данных.3

Хакеры, как правило, идут по пути наименьшего сопротивления. В настоящее время это обычно означает атаки на программное обеспечение. Хотя Intel® SGX не предназначены специально для защиты от атак в побочных каналах, они обеспечивают своего рода изоляцию кода и данных, которая повышает барьер, защищающий от атак.

Как Intel® SGX решают вопросы уязвимости безопасности:

  • Сотрудничество: постоянное сотрудничество с исследователями и партнерами, в т.ч. наша роль учредителей в консорциуме Confidential Computing, помогает нам быстро выявлять и устранять уязвимости.
  • Усиленная безопасность: Intel® SGX должны регулярно обновляться, чтобы быть постоянно готовыми к атакам.
  • Проверка: Intel® SGX позволяет приложениям запрашивать проверку того, что они работают в системах с установленными патчами, без нарушений безопасности.

Уведомления и дисклеймеры4

Переход от шифрованных данных к шифрованным вычислениям

Узнайте, как Intel SGX добавляет еще один уровень защиты за счет снижения поверхности атаки.

Загрузить инфографику

Информация о продукте и производительности

2Intel® SGX неуязвимы для большинства угроз уровня ОС, и на настоящий момент в базе данных имеется более 140 000 видов угроз. https://cve.mitre.org.
3По состоянию на август 2020, сотни исследований ссылаются на Intel® SGX.