Intel® SGX: переход от зашифрованных данных к конфиденциальным вычислениям

Смотреть видео

Вопросы к ИТ-специалистам, которые необходимо учитывать по мере того, как появляется информация о новых уязвимостях.

  • Какова критичность уязвимости? Подробнее о балле CVSS.

  • Имеется ли патч от поставщика и применяется ли он в моей сети?

  • Каковы векторы атаки, необходимые для выполнения? Уязвим ли я для них?

  • Позволяет ли код моего приложения использовать проверенные методы защиты от атак?

  • Имеется ли код атаки? Зафиксированы ли случаи, когда он был найден?

Читать информационную статью: разработка Intel® SGX для платформ мультипакетной обработки
BUILT IN - ARTICLE INTRO SECOND COMPONENT

Понимание расширений Intel® Software Guard Extensions (Intel® SGX)

На сегодняшний день решения в сфере безопасности обеспечивают шифрование данных в хранилище и при их отправке в сети, но данные могут быть уязвимы при их активной обработке в памяти. Общая база данных об уязвимостях и факторах риска (CVE) 1, например, в настоящее время содержит более 11 000 потенциальных уязвимостей, которые могут быть использованы, из них 34 процента до сих пор не имеют мер снижения рисков. Intel® SGX, обходя программные уровни операционной системы (ОС) и виртуальной машины (ВМ), обеспечивают значительную дополнительную защиту от многих указанных видов атак, повышают безопасность данных и удовлетворяют потребность в более конфиденциальных вычислениях. Они предоставляют аппаратное решение безопасности, которое использует шифрование для изменения способа доступа к памяти, предоставляя анклавы защищенной памяти для запуска приложений и их данных. Intel® SGX также позволяют запрашивать проверку приложения и используемого аппаратного обеспечения.

Что такое атака в побочных каналах, и нужно ли мне беспокоиться?

Атаки в побочных каналах основаны на использовании информации, такой как состояние питания, излучение и время ожидания непосредственно от процессора, — для косвенного получения информации о паттернах использования данных. Эти атаки — весьма сложные, и их нелегко осуществлять; для них потенциально требуются бреши в защите ЦОД на нескольких уровнях: физическом, сетевом и системном.

Хакеры, как правило, идут по пути наименьшего сопротивления. В настоящее время это обычно означает атаки на программное обеспечение. Хотя Intel® SGX не предназначены специально для защиты от атак по побочным каналам, они обеспечивают своего рода изоляцию кода и данных, которая повышает барьер, защищающий от атак. Корпорация Intel продолжает тесное сотрудничество с нашими клиентами и исследовательским сообществом для выявления потенциальных рисков в побочных каналах и их устранения. Несмотря на существование уязвимостей в побочных каналах, Intel® SGX остаются ценным инструментом, поскольку обеспечивают мощный дополнительный уровень защиты.

Следует ли мне доверять Intel® SGX?

Intel® SGX — наиболее испытанная, изученная и распространенная аппаратная доверенная среда выполнения приложений (TEE) для ЦОД с наименьшим числом возможных направлений атаки в системе. Если у вас имеются строгие требования к конфиденциальности данных и безопасности, Intel® SGX обеспечивают неоспоримое стратегическое преимущество.

Хорошая новость для клиентов, защищенных посредством Intel® SGX, заключается в том, что помимо защиты от множества более распространенных программных атак, механизмы аттестации Intel® SGX также позволяют запрашивать подтверждение того, что ваше приложение не было скомпрометировано и что процессор, который оно использует, имеет новейшие обновления безопасности.

Intel® SGX защищают от тысяч2 известных и неизвестных угроз, для многих из которых до сих пор отсутствуют иные меры снижения рисков. Ваш код и данные остаются значительно более защищенными с Intel® SGX, чем без них.

  

Получить инфографику

Переход от шифрованных данных к конфиденциальным вычислениям

Узнайте, как Intel® SGX добавляют еще один уровень защиты за счет сокращения числа возможных направлений атаки.

Часто задаваемые вопросы

Часто задаваемые вопросы

Intel® SGX обеспечивают дополнительный уровень защиты, помогая сократить число возможных направлений атаки. Intel® SGX помогают защитить код и данные от атак вредоносного ПО и неавторизованных разрешений в процессе обработки данных. Разработчики могут создавать надежные среды выполнения (TEE) непосредственно в домене процессора/памяти.

Атаки по побочным каналам предназначены для сбора внешней информации от процессора, такой как состояния питания, излучение и время ожидания, с целью получения информации об активности и значениях данных.3

Хакеры, как правило, идут по пути наименьшего сопротивления. В настоящее время это обычно означает атаки на программное обеспечение. Хотя Intel® SGX не предназначены специально для защиты от атак по побочным каналам, они обеспечивают своего рода изоляцию кода и данных, которая повышает барьер, защищающий от атак.

Как Intel® SGX решают вопросы уязвимости системы безопасности:

  • Сотрудничество: постоянное сотрудничество с исследователями и партнерами, в т.ч. наша роль учредителей в консорциуме Confidential Computing, помогает нам быстро выявлять и устранять уязвимости.
  • Повышенная безопасность: предусмотрено регулярное обновление Intel® SGX для обеспечения постоянной готовности к атакам.
  • Проверка: Intel® SGX позволяют приложениям запрашивать подтверждение того, что они работают в системах с установленными патчами, без нарушений безопасности.

Уведомления и дисклеймеры4

Информация о продукте и производительности

1https://cve.mitre.org/.
2Intel® SGX неуязвимы для большинства угроз на уровне ОС, и на данный момент база данных охватывает более 140 000 видов угроз. https://cve.mitre.org.
3По состоянию на август 2020 года, расширения Intel® SGX упоминаются в сотнях материалов исследований.
4https://www.csoonline.com/article/3153707/top-cybersecurity-facts-figures-and-statistics.html.