محاسبات محرمانه Arm CCA: Arm Builds Secure Secures Data Center

تراشه های بازو برای دستگاه های تلفن همراه و اینترنت اشیا for سالهاست که از محاصره امن – مفهومی معروف به محاسبات محرمانه – پشتیبانی می کنند. آن را Arm TrustZone محیط اعدام قابل اعتماد می نامند و از سال 2004 و در IoT کلاس M خود برای دستگاه های تلفن همراه از سال 2014 در دسترس است. طراح تراشه اکنون محاسبات محرمانه ای را در طراحی تراشه های کلاس داده خود ارائه می دهد.

معماری Armv9 که در ماه مارس راه اندازی شد ، دارای Arm CCA (معماری محرمانه محرمانه) است.

مارک نایت ، مدیر محصولات معماری در Arm ، گفت: از آنجا که Arm ، مستقر در کمبریج ، انگلستان ، مجوز طراحی خود را به سازندگان مختلف داده است ، این نسخه به دموکراتیک سازی محاسبات محرمانه در مراکز داده کمک می کند. غول های تراشه سرور اینتل ، AMD و IBM هرکدام از فناوری های امن محاصره اختصاصی خود را برای مراکز داده دارند.

نایت به DCK گفت ، Arm CCA از فناوری اصلی Arm TrustZone استفاده می کند تا اصل یک محیط پردازش ایمن مبتنی بر سخت افزار را به دامنه وسیع تری از بارهای کاری گسترش دهد.

وی گفت: “Arm CCA نوعی محاصره امن با اعتماد بالا را در اختیار شما قرار می دهد كه قبلاً فقط برای تولیدكنندگان دستگاه و فروشندگان سیستم عامل قابل دسترسی بوده و محاسبات ایمن را به روی همه توسعه دهندگان و تمام بارهای مراكز داده باز می كند.”

وی گفت که TrustZone در درجه اول برای فروشندگان سیلیکون و OEM ها قابل دسترسی است. برنامه ها معمولاً برای اجرای در محیط های تخصصی نوشته می شوند و اندازه آنها معمولاً کمتر است.

با استفاده از Arm CCA ، هر توسعه دهنده ای با اجرای برنامه خود در محفظه امن می تواند از محاسبات محرمانه بهره ببرد. این برنامه می تواند بر روی هر سیستم عامل استاندارد ، از جمله لینوکس و ویندوز اجرا شود.

محاسبات محرمانه چیست؟

داده ها به طور معمول رمزگذاری می شوند وقتی از طریق اینترنت ارسال می شوند یا در پایگاه داده یا پشتیبان ذخیره می شوند ، اما معمولاً باید رمزگشایی شود تا برنامه با آن کاری انجام دهد. این یک فرصت برای مهاجمان است.

نایت گفت: “در حالی که حفاظت از داده ها در حالت استراحت و داده های در حال انتقال ، روش های قدیمی است ، اما محافظت از داده ها در حالی که به طور فعال پردازش می شوند ، همچنان یک چالش سخت تر است.”

این مشکلی است که محاسبه محرمانه برای حل آن است. این با جدا کردن یک بار کاری در یک محاصره امن بر روی یک تراشه کار می کند. به عنوان مثال ، این یک روش معمول برای محافظت از اطلاعات پرداخت در دستگاه های تلفن همراه است. سایر فرایندهایی که با همان تراشه اجرا می شوند نمی توانند از دیوارهای مخفی هم ردیف شوند و مانع از گوش دادن به عملیات حساس یا مشاهده حافظه فعال شوند.

AWS ، Google Cloud ، Microsoft Azure و IBM Cloud همه با استفاده از ویژگی های محرمانه محاسباتی در پردازنده های Intel و AMD ، محصورات امن را به مشتریان خود ارائه می دهند. IBM همچنین دارای فناوری محاسبات محرمانه اختصاصی خاص خود در تراشه های IBM Z است.

مایک بورسل ، معمار ارشد امنیت در Red Hat ، در کنفرانس Arm Vision Day در ماه مارس ، گفت: “همه ارائه دهندگان اصلی ابر در حال تهیه این موارد هستند.”

https://www.youtube.com/watch؟v=GXzZr-D5gbk

بورسل گفت: “من فکر می کنم مدتی طول خواهد کشید: برخی از تغییرات فرایند ، مهندسی زیادی نیز ، کار زیادی برای من و همه افرادی که در مهندسی مشغول هستند”. “اما این جایی است که من می خواهم بروم – که این امر شفاف می شود زیرا در همه جا وجود دارد. این کار درستی است.”

محاسبات محرمانه را می توان با استفاده از فناوری SGX اینتل یا محصورات امن پشتیبانی شده توسط تراشه های سرور AMD Epyc 2 در هر مرکز داده فعال کرد.

در ابتدا ، تفاوت بزرگ بین رویکردهای اینتل و AMD ، اندازه محفظه امن بود. گوگل گفت که محاصره های مجهز به پردازنده AMD 2 Epyc آن می توانند تا 896 گیگابایت برسند ، در حالی که Intel SGX در ابتدا 128 مگابایت بود. اما در ماه اکتبر اینتل اعلام کرد که محاصره امن در پردازنده های نسل سوم Intel Xeon Scalable (“Ice Lake”) حداکثر 1 ترابایت را در خود جای می دهد. تراشه های جدید اینتل در ماه آوریل راه اندازی شد.

نایت گفت ، محدودیت خاصی در اندازه محاصره امن Arm CCA وجود ندارد. “اطمینان از اینکه حافظه و پردازش کافی پلتفرم برای پشتیبانی از کارهای همزمان مورد نیاز کافی است.”

چرا بنگاه ها از Enclave امن در مراکز داده استفاده می کنند؟

طبق یک نظرسنجی در ماه فوریه توسط Pulse ، با حمایت مالی Arm ، 33 درصد از شرکت ها قبلاً از محاسبات محرمانه استفاده می کنند.

بیشترین مورد استفاده از آن حفاظت از داده ها از مدیران سیستم عامل و ارائه دهندگان خدمات بود که توسط 59 درصد پاسخ دهندگان انتخاب شده اند. 40 درصد دیگر اظهار داشتند که می تواند از دسترسی نرم افزارهای پلتفرم مانند hypervisors به ​​داده جلوگیری کند ، در حالی که 36 درصد گفتند که می تواند در محیط های چند مستأجر یا چند کاربر محافظت کند.

نایت گفت ، به عنوان مثال ، شرکت هایی که از سیستم عامل های IaaS استفاده می کنند باید به ارائه دهندگان خود اعتماد کنند تا به داده های آنها دسترسی پیدا نکنند. داده های آنها در این سیستم عامل ها ممکن است برای سیستم ها و فرایندهایی قابل دسترسی باشد که به راحتی نمی توانند آنها را کنترل کنند.

با استفاده از فن آوری های محاسباتی محرمانه مانند Arm CCA ، اینکه آیا ارائه دهنده قول دسترسی به داده ها را نمی دهد دیگر جای سوال نیست. ارائه دهنده به هیچ وجه نمی تواند به داده های محصور امن دسترسی پیدا کند.

این به نفع بنگاه های اقتصادی است ، اما همچنین ارائه دهندگان خدمات ابری و میزبانی نیز به نفع خودشان هستند. وی گفت: “Arm CCA می تواند به كاهش خطر مواجه شدن پرسنل و سیستم های مراكز داده با داده های حساس كمك كند.”

دیون هینچکلیف ، معاون اصلی و تحلیلگر اصلی در تحقیقات فلکی گفت: این فناوری برای CIO ها ، CISO ها و مراکز داده و کارمندان امنیتی جذاب خواهد بود.

وی به DCK گفت: “در اینجا نوید ایجاد چنین عملیاتی ایمن است كه تهدیدهای مربوط به امنیت سایبری قابل ملاحظه ای كاهش یابد.” “این توانایی کاهش امنیت سایبری و هزینه های مدیریت نقض در طولانی مدت را دارد.”

چالش قابلیت همکاری Secla Enclaves

از آنجا که محاصره امن مخصوص سخت افزار است ، تبدیل بارهای کاری برای کار با این فناوری می تواند مشکل باشد.

طبق گفته استیو رایلی ، تحلیلگر گارتنر ، هنوز هیچ استاندارد گسترده ای برای محاسبات محرمانه پذیرفته نشده است.

وی به DCK گفت: “Google چارچوبی به نام Asylo را ارائه می دهد.” “مایکروسافت چارچوبی را به نام Open Enclave ارائه می دهد. Fortanix چارچوبی به نام Runtime Encryption را ارائه می دهد. در درجات مختلف ، این تلاش برای کاهش یا حذف برنامه نویسی خاص برنامه برای کار با Enclave است. اما هیچ یک از آنها استاندارد اعلام شده نیست و بعید است که هرگز به عنوان یک استاندارد عملی ظاهر می شود. “

IBM و AMD با محافظت از کل ماشین های مجازی به این مسئله می پردازند. این بدان معنی است که ادغام در سطح hypervisor اتفاق می افتد اما در صورت به خطر افتادن hypervisor یک منطقه بالقوه از خطر را معرفی می کند.

برای Intel SGX ، شرکت ها یا برای استفاده از محاصره های امن و یا استفاده از یک فناوری شخص ثالث مانند Fortanix یا باید برنامه خود را دوباره بنویسند.

نایت گفت ، Arm CCA همچنین شامل تغییر در سخت افزار اساسی است. با “Realm” که اصطلاحات Arm برای محاصره امن است ، می توان به ویژگی های جدید دسترسی پیدا کرد. “اما این معماری به دقت طراحی شده است تا بارهای موجود در نرم افزار موجود با حداقل تلاش به سیستم عاملهایی که از Realm Management Extension پشتیبانی می کنند منتقل شود.”

نایت گفت ، Arm تصمیم گرفته است تا با رویکرد مجازی پیش برود. “یک بار کاری معمولی که در یک قلمرو اجرا می شود ، یک ماشین مجازی لینوکس یا ویندوز یا یک ظرف است.”

وی گفت ، Arm قصد دارد در زمینه تدوین استانداردها با صنعت همکاری کند ، از جمله کار با کنسرسیوم محرمانه محرمانه. “ما امسال جزئیات فنی بیشتری ارائه خواهیم داد.”

بازو در مرکز داده

باز تراشه های خودش را نمی سازد. در عوض ، فناوری مبتنی بر RISC خود را به تولیدکنندگان مجوز می دهد. کم هزینه بودن و بهره وری بالای انرژی این تراشه ها باعث شده است که آنها برای استفاده در تلفن ها و سایر دستگاه های هوشمند جذاب باشند ، اما هنوز Arm نمی تواند جذب گسترده ای در بازار مراکز داده داشته باشد.

تراشه های بازو هر تلفن هوشمند آیفون و آندروید و اکثر تبلت ها را تأمین می کنند. جدیدترین تراشه های M1 اپل که جدیدترین مک بوک ها و آیپدها را تغذیه می کنند ، مبتنی بر Arm هستند. به گفته آرم ، در پنج سال گذشته حدود 100 میلیارد تراشه Arm حمل شده است.

اما نشانه هایی از رشد شتاب برای Arm در مرکز داده وجود دارد. گزارش شده است که مایکروسافت در حال کار بر روی طراحی پردازنده Arm برای سیستم عامل ابری خود است. در سال 2018 ، AWS شروع به ارائه نمونه های EC2 A1 مجهز به پردازنده های Graviton مبتنی بر Arm خود کرد. Microsoft Azure و Oracle Cloud از آمپر برای سیستم عامل های خود از تراشه های سرور Arm نمونه برداری کرده اند. Alibaba و Tencent نیز از تراشه های Arm استفاده می کنند و Oracle گفت که امسال قصد دارد خدمات محاسبات ابری مجهز به Arm ارائه دهد.

انویدیا ، پیشنهاد 40 میلیارد دلاری او برای دستیابی به Arm در حال حاضر از طریق فرایندهای تصویب مقررات بین المللی دور از حد مشخص پیش می رود ، ماه گذشته گفت که در حال کار بر روی یک CPU مرکز داده مبتنی بر Arm ، به نام “Grace” برای بیشترین تقاضای کار هوش مصنوعی است .

طبق IDC ، سهم بازار سرور Arm اندک است اما در حال رشد است. در سه ماهه چهارم سال 2020 ، درصد سرورهایی که با معماری Arm کار می کنند 345 درصد بیشتر از یک سال قبل است.

تابستان گذشته ، برای اولین بار ، یک سیستم مجهز به Arm سریعترین ابر رایانه جهان لقب گرفت.

سال گذشته فارستر گفت ، سرورهای مبتنی بر بازو می توانند هزینه های پیشین زیرساخت های مرکز داده را 30 تا 60 درصد ، هزینه های زیربنایی مداوم را بین 15 تا 35 درصد و کل زیرساخت های ابر را تا 80 درصد کاهش دهند.

به گفته مشاور فارستر ، ژان ده سیتوف ، پردازنده های Arm دارای رد پای کمتری هستند ، این امر باعث می شود هسته های بیشتری در هر سرور تراکم بیشتری داشته باشند ، در نتیجه تعداد کل سرورهای مورد نیاز کمتر است. سرورهای بازو نیز از نظر مصرف انرژی بیشتر هستند و به خنک کننده کمتری نیاز دارند.

در همین حال ، Arm سرمایه گذاری زیادی در پشتیبانی از بارهای هوش مصنوعی و موارد استفاده از محاسبات لبه ای انجام داده است.

شوالیه Arm گفت: “با Armv9-A ، تمرکز خود بر عملکرد همچنان ادامه خواهد داشت ،” که به افزایش بیشتر کارایی انرژی و محاسبه تراکم در مرکز داده کمک می کند. “