Omówienie rozszerzeń Intel® Software Guard Extensions (Intel® SGX)
Obecnie rozwiązania bezpieczeństwa zapewniają szyfrowanie danych w zakresie pamięci masowej i podczas przesyłu w sieci, jednak dane ciągle pozostają podatne na ataki, gdy są aktywnie przetwarzane w pamięci. Na przykład, baza Common Vulnerabilities and Exposures, (CVE, baza powszechnych zagrożeń i ryzyk)1, zawiera obecnie ponad 11 000 możliwych do wykorzystania potencjalnych zagrożeń i na 34% z nich ciągle nie ma środków zaradczych. Poprzez ominięcie systemu operacyjnego (OS) systemu i warstw oprogramowania maszyny wirtualnej, rozszerzenia Intel® SGX, zapewniają znaczną dodatkową ochronę przed wieloma z tych ataków i dodatkowe zabezpieczenia danych oraz odpowiadają na potrzebę bardziej poufnego obliczania. Zapewniają rozwiązanie zabezpieczenia sprzętowego, które wykorzystuje szyfrowanie do zmian w zakresie dostępu do pamięci, tworząc enklawy pamięci chronionej do uruchamiania aplikacji i jej danych. Rozwiązanie Intel® SGX umożliwia również wymuszenie weryfikacji aplikacji i sprzętu, na którym działa.
Czym jest atak kanałem bocznym i czy należy się nim martwić?
Ataki kanałem bocznym oparte są na wykorzystaniu informacji, takich jak stany zasilania, emisje i czasy oczekiwania bezpośrednio z procesora, aby pośrednio wywnioskować wzorce wykorzystania danych. Ataki te są bardzo złożone i trudne do wykonania, potencjalnie wymagając naruszeń centrum danych firmy na wielu poziomach: fizycznym, sieciowym i systemowym.
Hakerzy zazwyczaj podążają ścieżką najmniejszego oporu. Obecnie oznacza to zazwyczaj atakowanie oprogramowania. Chociaż rozszerzenia Intel® SGX nie są zaprojektowane specjalnie w celu ochrony przed atakami kanałem bocznym, jednak zapewniają rodzaj izolacji kodu i danych, która znacząco podnosi poprzeczkę atakującym. Firma Intel stale i uważnie współpracuje z klientami i społecznością badawczą nad identyfikacją potencjalnych zagrożeń kanałem bocznym oraz zmniejszeniem ryzyka ich wystapienia. Pomimo istnienia zagrożeń atakami kanałem bocznym, rozwiązanie Intel® SGX pozostaje cennym narzędziem, ponieważ oferuje wydajną dodatkową warstwę ochrony.
Czy warto zaufać rozszerzeniom Intel® SGX?
Rozszerzenia Intel® SGX to najlepiej przetestowane, zbadane i wdrożone zabezpieczone sprzętowo zaufane środowisko wykonawcze (TEE) centrum danych, o najmniejszej dostępnej powierzchni ataku w systemie. Rozwiązanie Intel® SGX zapewnia znaczną przewagę strategiczną w przypadku ścisłych wymogów dotyczących prywatności danych i bezpieczeństwa.
Dobrą wiadomością dla klientów chronionych rozszerzeniami Intel® SGX jest fakt, że oprócz obrony przeciwko niezliczonym popularnym rodzajom ataków opartych na oprogramowaniu, mechanizmy zaświadczeń rozszerzeń Intel® SGX umożliwiają także zweryfikowanie, że aplikacja nie jest zagrożona, a procesor działa z wykorzystaniem najnowszych aktualizacji zabezpieczeń.
Rozszerzenia Intel® SGX umożliwiają ochronę przed tysiącami2 znanych i nieznanych zagrożeń, na wiele z których nie ma jeszcze innych środków zaradczych. Kod i dane są znacznie lepiej chronione z rozszerzeniami Intel® SGX niż bez nich.