GNU/Linux >> Tutoriales Linux >  >> Linux

¿Qué es Intel SGX y cuáles son los beneficios?

Introducción

Intel Security Guard Extensions (SGX) estuvo disponible con la familia de procesadores Skylake. Intel SGX tiene como objetivo proporcionar una capa de seguridad adicional que evita la ejecución de software malicioso incluso con privilegios de administrador.

Emplear el modelo SGX en su infraestructura, ya sea local, pública, privada o en la nube híbrida, crea un entorno confiable para procesar datos confidenciales. PhoenixNAP Bare Metal Cloud ofrece una gama de servidores compatibles con SGX.

Este artículo explicará qué es Intel SGX, cómo funciona y sus beneficios. También le mostraremos cómo elegir una CPU compatible con SGX al implementar un servidor BMC.

Requisitos para usar Intel SGX

Existen algunos requisitos para usar aplicaciones SGX en su infraestructura:

  1. Su máquina debe tener una CPU Intel compatible con Intel SGX.
  2. El BIOS debe tener una opción para habilitar SGX.
  3. La opción Intel SGX debe establecerse en Habilitado o Controlado por software en BIOS, dependiendo del sistema. Los servidores PhoenixNAP BMC ya tienen esta opción habilitada.
  4. Debe instalar el paquete de software de la plataforma Intel SGX.

¿Qué es Intel SGX (Extensiones de protección de software)?

Intel creó Software Guard Extensions para mejorar la protección de datos y mejorar la seguridad del código de la aplicación. Este sistema de defensa basado en CPU permite que las aplicaciones se ejecuten en un espacio de memoria privado. Por lo tanto, la exposición a ataques internos y externos durante el tiempo de ejecución es mínima.

Intel SGX permite a los desarrolladores utilizar las instrucciones de la CPU para aumentar el control de acceso a:

  • Evitar la modificación y eliminación de datos.
  • Evitar la divulgación de datos.
  • Mejore la seguridad del código.

Este conjunto de instrucciones de CPU compatibles con SGX le permite cifrar partes de la memoria para proteger datos valiosos y confidenciales.

Dicho entorno proporciona un espacio seguro para los secretos cuando otras partes de la infraestructura se ven comprometidas. Esto incluye BIOS, firmware, acceso raíz, administrador de máquinas virtuales , etc. Cuando una aplicación está protegida con Intel SGX, su funcionamiento e integridad no se ven afectados en caso de un ataque.

Los datos más confidenciales permanecen inaccesibles para cualquier proceso o usuario sin importar el nivel de permiso. La razón es que una aplicación se ejecuta dentro de un segmento de memoria confiable al que otros procesos no pueden acceder.

¿Qué es SGX Enclave?

Los enclaves son áreas aisladas de memoria con datos confidenciales de aplicaciones protegidos por la CPU. El código y los datos en estas regiones de memoria solo son accesibles dentro del enclave. Con el SDK de Intel SGX, los desarrolladores crean un conjunto de instrucciones para reservar una parte de la memoria física para este entorno seguro.

Cuando ejecuta una aplicación dentro de un enclave, la CPU la cifra instantáneamente y almacena la clave. Dado que la clave está dentro de la CPU, un atacante no puede obtenerla inspeccionando la memoria del sistema.

¿Qué tan seguros son los enclaves?

Los enclaves son entornos extremadamente seguros para trabajar con datos. El control de acceso se impone dentro de estas partes de memoria confiables, y ni siquiera el acceso físico es suficiente para obtener los datos protegidos.

Lo que hace que los enclaves sean seguros es el cifrado de hardware automático. La tecnología SGX utiliza la CPU para cifrar la información y almacenar la clave en su interior. Por lo tanto, una parte externa no puede adquirir la clave y comprometer los datos. Esto significa que ni siquiera el proveedor de la nube puede obtener acceso.

Además, una vez que la aplicación sale o instruye la destrucción de un enclave, toda la información se pierde con ella.

¿Cómo funciona Intel SGX?

Al desarrollar una aplicación Intel SGX, el programador puede elegir qué enclave. Cada aplicación SGX tiene dos partes:

  • Parte que no es de confianza
  • Parte de confianza

La parte que no es de confianza es responsable de la creación del enclave y la comunicación de todo el sistema. Desde aquí, una aplicación llama solo a las funciones de confianza específicas para acceder a los datos.

La parte de confianza almacena el enclave creado para el procesamiento de datos confidenciales. El código y los datos se muestran en texto claro exclusivamente dentro del enclave. Los datos que devuelve una función de confianza permanecen en esta área de memoria segura. La CPU rechaza todas las solicitudes externas y el enclave permanece protegido.

Luego, la aplicación vuelve a funcionar en la parte que no es de confianza, donde ya no tiene información sobre los datos confidenciales.

La parte de la aplicación que recibe los datos protegidos se encuentra en la sección que no es de confianza. Una aplicación puede almacenar los datos fuera del enclave una vez que la CPU los cifra. La clave de cifrado permanece en el enclave que contiene el código de descifrado y el algoritmo necesario. Por lo tanto, el descifrado solo es posible en el mismo sistema donde se sellaron los datos.

¿Cuándo usar Intel SGX?

Intel SGX es una excelente herramienta para cualquier contexto donde la informática confidencial sea imprescindible. Como esta tecnología es nativa de las CPU habilitadas para SGX, cualquier persona que necesite una capa de seguridad adicional puede usarla.

Cualquier industria puede aprovechar las capacidades de SGX, no solo TI:

  • Finanzas y Seguros
  • Atención sanitaria y social
  • Militar
  • Comercio

Dado que los datos están protegidos mientras están en uso, Intel SGX es adecuado para compartir información entre múltiples organizaciones. Este modelo mejora el control sobre qué datos compartir, quién puede verlos, durante cuánto tiempo y con qué propósito.

CPU compatible con Intel SGX

Comenzando con los procesadores escalables Xeon Lanzado a partir del tercer trimestre de 2015 en adelante, todos los procesadores de servidor son compatibles con Intel SGX. Algunos de ellos son:

  • Intel® Xeon® E-2288G
  • Intel® Xeon® dorado 6326
  • Intel® Xeon® Platino 8352Y

Además, la mayoría de los dispositivos móviles y de escritorio con CPU Intel Core de sexta generación son compatibles con SGX.

Para comprobar qué CPU Intel utilizan SGX, consulte la página de búsqueda de productos Intel. En Elegir un filtro menú desplegable, desplácese hacia abajo y seleccione Intel® Software Guard Extensions (Intel® SGX) .

Cómo elegir una CPU con soporte SGX en el portal BMC

Para implementar un servidor Bare Metal Cloud compatible con Intel SGX:

1. Inicie sesión en el portal de BMC.

2. Haga clic en Implementar nuevo servidor botón.

3. Localice el servidor con el logotipo de Intel SGX en Servidor. sección. Utilice el filtro Intel SGX para reducir la lista.

4. Complete el proceso como con cualquier otro servidor BMC.

¿Cómo habilitar Intel SGX en BIOS?

Si una CPU y un BIOS del sistema son compatibles con Intel SGX, puede habilitarlo. Use la tecla correspondiente para ingresar al BIOS, según el fabricante.

Estas son las posibles configuraciones de SGX en BIOS:

  • Deshabilitado. La configuración predeterminada para la opción Intel SGX. En este modo, las aplicaciones no pueden habilitar SGX.
  • Habilitado. Las aplicaciones pueden usar Intel SGX . Se asegura de que el PRMRR la configuración es correcta para su sistema.
  • Controlado por software. Permite que una aplicación indique al BIOS que habilite SGX automáticamente.

En algunas interfaces UEFI BIOS, el SGX se encuentra en Avanzado -> Configuración de CPU .

Algunas interfaces BIOS heredadas tienen la opción Intel SGX en la Configuración menú.

¿Debería desactivar SGX?

La opción Intel SGX suele estar desactivada de forma predeterminada. Puede dejar la configuración en los valores predeterminados. Sin embargo, si está utilizando aplicaciones SGX, no debe deshabilite esta opción en BIOS.

Por otro lado, cuando la opción SGX está habilitada en el BIOS y no usa las aplicaciones SGX o no tiene la intención de hacerlo, es posible que la función esté deshabilitada.

Beneficios de Intel SGX

El uso de Intel Software Guard Extensions ofrece muchos beneficios. El más obvio es la mayor seguridad de los datos confidenciales y de misión crítica.

Con Intel SGX, la información que debe verificarse puede residir en la máquina en lugar de enviarla a un servidor remoto. Esto incluye biometría y otros datos de autenticación. Intel SGX protege contra amenazas avanzadas que comprometen el BIOS, los componentes del sistema y los perfiles de usuario con permisos de root.

Además, el sellado de datos proporciona la protección necesaria de la propiedad intelectual incluso fuera de los enclaves. La clave para decodificar los datos confidenciales está en la memoria de confianza para bloquear el acceso externo.

Este modelo permite un escalado horizontal continuo. A medida que aumentan las demandas comerciales, las nuevas máquinas pueden unirse al grupo sin interrupciones. Antes de formar parte del clúster de servidores de confianza, se verifica que los nodos tengan el nivel de seguridad adecuado.


Linux

  1. ¿Cuál es la diferencia entre InnoDB y MyISAM?

  2. ¿Qué son los operadores de control y redirección de Shell?

  3. ¿Cómo establecer la configuración regional y cuáles son las implicaciones de hacerlo?

  4. El desafío y la promesa de Big Data

  5. ¿Cuáles son los beneficios de CloudLinux?

¿Cuál es la diferencia entre Linux y Unix?

¿Cuáles son las diferencias entre cPanel y WHM?

¿Qué es una base de datos distribuida y para qué sirven los sistemas de datos distribuidos?

¿Cuál es la diferencia entre DMA y E/S mapeada en memoria?

¿Cuál es la diferencia entre ls y l?

¿Cuáles son los beneficios del Administrador de volúmenes lógicos?