Intel dio a conocer una serie de nuevas funciones de seguridad para la próxima plataforma Intel Xeon Scalable de 3ª generación, con código Ice Lake. Intel redobla la apuesta y su promesa de priorizar la seguridad de los datos al llevar su extensión de seguridad Intel Software Guard Extension (Intel SGX), a la gama completa de plataformas Ice Lake, junto con nuevas funciones, como son Intel Total Memory Encryption (Intel TME), Intel Platform Firmware Resilience (Intel PFR) y nuevos aceleradores criptográficos, con el fin de reforzar la plataforma y mejorar la confidencialidad e integridad general de los datos.
Los datos son un activo fundamental fundamentales, tanto en función del valor comercial que pueden aportar como por la información personal que debe protegerse; por ello, la seguridad cibernética es una preocupación prioritaria. Las funciones de seguridad en Ice Lake permiten a los clientes de Intel desarrollar soluciones que ayuden a mejorar su estrategia de seguridad y a reducir los riesgos relacionados con la privacidad y el cumplimiento, como son los datos regulados en los servicios financieros y en la atención médica.
Las tecnologías como la encriptación de discos y tráfico de redes protegen los datos en almacenamiento y durante la transmisión, pero los datos pueden ser vulnerables, interceptados y manipulados mientras se utilizan en la memoria. La “computación confidencial” es una categoría de uso en rápido crecimiento que protege los datos mientras se utilizan en un entorno de ejecución confiable (TEE). Intel SGX es el entorno de ejecución confiable más buscado, actualizado y probado para la computación confidencial del centro de datos, que tiene la superficie de ataque más pequeña del sistema. Permite el aislamiento de aplicaciones en regiones de memoria privadas, llamadas enclaves, para ayudar a proteger hasta un terabyte de código y datos mientras están en uso.
A la par de este anuncio Intel introduce nuevas capacidades de seguridad para mejorar la protección de datos y fortalecer la plataforma, como las siguientes:
- Encriptación total de memoria: Para proteger mejor la memoria completa de una plataforma, Ice Lake introduce una nueva función llamada Intel Total Memory Encryption (Intel TME). Intel TME contribuye a garantizar que toda la memoria a la que se accede desde la CPU Intel esté encriptada, incluyendo las credenciales de los clientes, las claves de encriptación y otra información de propiedad intelectual o personal en el bus de memoria externa. Intel desarrolló esta función para ofrecer mayor protección a la memoria del sistema contra los ataques de hardware, como la extracción y lectura del módulo de memoria dual en línea (DIMM) después de rociarlo con nitrógeno líquido, o la instalación de hardware diseñado específicamente para ataques. Mediante el uso de la norma de encriptación de almacenamiento AES XTS del Instituto Nacional de Normas y Tecnología (NIST), se genera una clave de encriptación utilizando un generador de números al azar endurecido en el procesador, sin exposición al software. Lo anterior permite que el software existente se ejecute sin modificaciones y al mismo tiempo se protege mejor la memoria.
- Aceleración criptográfica: Una de las metas de diseño de Intel es eliminar o reducir el impacto al rendimiento a cambio de una mayor seguridad, de modo que los clientes no tengan que elegir entre una mejor protección y un buen rendimiento. Ice Lake presenta varias instrucciones nuevas que utilizadas en toda la industria, junto con innovaciones algorítmicas y de software, para ofrecer un desempeño criptográfico revolucionario. Son dos las innovaciones fundamentales. La primera es una técnica para unir las operaciones de dos algoritmos que normalmente funcionan en combinación, aunque de forma secuencial, lo que les permite ejecutarse al mismo tiempo. La segunda es un método para procesar múltiples búferes de datos independientes en paralelo.
- Resistencia creciente: Los adversarios más sofisticados podrían intentar comprometer o desactivar el firmware de la plataforma, para interceptar datos o derribar el servidor. Ice Lake introduce Intel Platform Firmware Resilience (Intel PFR) a la plataforma Intel Xeon Scalable con el fin de ayudar a proteger contra los ataques de firmware de la plataforma, ya que está diseñada para detectarlos y corregirlos antes de que puedan comprometer o desactivar la máquina. Intel PFR utiliza una FPGA Intel como una plataforma de confianza para validar los componentes de firmware de la plataforma que son esenciales para el arranque, antes de que se ejecute cualquier código de firmware. Los componentes de firmware protegidos pueden incluir BIOS Flash, BMC Flash, SPI Descriptor, Intel Management Engine y el firmware de la fuente de alimentación.
Las plataformas confiables, que preservan la privacidad, incorporadas en los próximos procesadores Xeon Scalable de 3ª Generación, contribuirán a impulsar servicios, modelos de uso y soluciones innovadoras todavía más grandes para las organizaciones que buscan activar el valor total de sus datos.
Deja un comentario