Intel dio a conocer una serie de nuevas funciones de seguridad para la próxima plataforma Intel® Xeon® Scalable de 3ª Generación, con código “Ice Lake.” Intel redobla la apuesta y su promesa de priorizar la seguridad de los datos al llevar su extensión de seguridad Intel® Software Guard Extension (Intel® SGX), innovadora y probada, a la gama completa de plataformas Ice Lake, junto con nuevas funciones, como son Intel® Total Memory Encryption (Intel® TME), Intel® Platform Firmware Resilience (Intel® PFR) y nuevos aceleradores criptográficos, con el fin de reforzar la plataforma y mejorar la confidencialidad e integridad general de los datos.
Los datos son un activo fundamental fundamentales, tanto en función del valor comercial que pueden aportarcomo por la información personal que debe protegerse; por ello, la seguridad cibernética es una preocupación prioritaria.
Las funciones de seguridad en Ice Lake permiten a los clientes de Intel desarrollar soluciones que ayuden a mejorar su estrategia de seguridad y a reducir los riesgos relacionados con la privacidad y el cumplimiento, como son los datos regulados en los servicios financieros y en la atención médica.
“Es esencial proteger los datos para extraer valor de ellos, y gracias a las capacidades con las que cuenta la próxima plataforma Xeon Scalable de 3ª Generación, ayudaremos a nuestros clientes a resolver los retos más difíciles en materia de datos, mientras mejoramos la confidencialidad e integridad de la información. Con ello, ampliamos nuestra larga trayectoria de establecer asociaciones dentro del ecosistema, para impulsar innovaciones de seguridad,” manifestó Lisa Spelman, vicepresidente corporativo del Grupo de Plataformas de Datos y gerente general del Grupo Xeon y Memoria en Intel.
Protección de datos en toda la estructura de cómputo
Las tecnologías como la encriptación de discos y tráfico de redes protegen los datos en almacenamiento y durante la transmisión, pero los datos pueden ser vulnerables, interceptados y manipulados mientras se utilizan en la memoria.
La “computación confidencial” es una categoría de uso en rápido crecimiento que protege los datos mientras se utilizan en un entorno de ejecución confiable (TEE). Intel SGX es el entorno de ejecución confiable más buscado, actualizado y probado para la computación confidencial del centro de datos, que tiene la superficie de ataque más pequeña del sistema.
Permite el aislamiento de aplicaciones en regiones de memoria privadas, llamadas enclaves, para ayudar a proteger hasta 1 terabyte de código y datos mientras están en uso.
“Microsoft Azure fue la primera nube pública importante en ofrecer computación confidencial, y hoy los clientes de algunos sectores como el financiero, sanitario y gubernamental están usando computación confidencial en Azure,” precisó Mark Russinovich, director de tecnología de Microsoft Azure. “Azure tiene opciones de computación confidencial para máquinas virtuales, contenedores, aprendizaje automático y más. Creemos que los procesadores Intel Xeon de próxima generación con Intel SGX, que cuentan con encriptación total de memoria y aceleración criptográfica, ayudarán a nuestros clientes a desbloquear aún másescenarios de computación confidencial.”
Clientes como la Universidad de California de San Francisco (UCSF), NEC, Magnit y otras organizaciones en industrias altamente reguladas, toman la experiencia de Intel para apoyar su estrategia de seguridad y utilizaron Intel SGX con resultados probados.
Por ejemplo, las organizaciones del sector salud pueden proteger los datos con mayor seguridad — incluyendo las historias clínicas electrónicas — con un entorno informático de confianza que protege mejor la privacidad de los pacientes.
En otras industrias, como la de comercio minorista, las compañías se basan en Intel para ayudar a resguardar la confidencialidad de los datos y proteger la propiedad intelectual. Intel SGX ayuda a los clientes a desbloquear nuevos escenarios de computación compartida entre múltiples partes, difíciles de construir en el pasado debido a los requisitos de privacidad, seguridad y regulatorios.
Intel Xeon Scalable
A la par de este anuncio Intel introduce nuevas capacidades de seguridad para mejorar la protección de datos y fortalecer la plataforma, como las siguientes:
- Encriptación total de memoria: Para proteger mejor la memoria completa de una plataforma, Ice Lake introduce una nueva función llamada Intel Total Memory Encryption (Intel TME). Intel TME contribuye a garantizar que toda la memoria a la que se accede desde la CPU Intel® esté encriptada, incluyendo las credenciales de los clientes, las claves de encriptación y otra información de propiedad intelectual o personal en el bus de memoria externa. Intel desarrolló esta función para ofrecer mayor protección a la memoria del sistema contra los ataques de hardware, como la extracción y lectura del módulo de memoria dual en línea (DIMM) después de rociarlo con nitrógeno líquido, o la instalación de hardware diseñado específicamente para ataques. Mediante el uso de la norma de encriptación de almacenamiento AES XTS del Instituto Nacional de Normas y Tecnología (NIST), se genera una clave de encriptación utilizando un generador de números al azar endurecido en el procesador, sin exposición al software. Lo anterior permite que el software existente se ejecute sin modificaciones y al mismo tiempo se protege mejor la memoria.
- Aceleración criptográfica: Una de las metas de diseño de Intel es eliminar o reducir el impacto alrendimiento a cambio de una mayor seguridad, de modo que los clientes no tengan que elegir entre una mejor protección y un buen rendimiento. Ice Lake presenta varias instrucciones nuevas queutilizadas en toda la industria, junto con innovaciones algorítmicas y de software, para ofrecer un desempeño criptográfico revolucionario. Son dos las innovaciones fundamentales. La primera es una técnica para unir las operaciones de dos algoritmos que normalmente funcionan en combinación, aunque de forma secuencial, lo que les permite ejecutarse al mismo tiempo. La segunda es un método para procesar múltiples búferes de datos independientes en paralelo.
- Resistencia creciente: Los adversarios más sofisticados podrían intentar comprometer o desactivar el firmware de la plataforma, para interceptar datos o derribar el servidor. Ice Lake introduce Intel® Platform Firmware Resilience (Intel PFR) a la plataforma Intel Xeon Scalable con el fin de ayudar a proteger contra los ataques de firmware de la plataforma, ya que está diseñada para detectarlos y corregirlos antes de que puedan comprometer o desactivar la máquina. Intel PFR utiliza una FPGA Intel como una plataforma de confianza para validar los componentes de firmware de la plataforma que son esenciales para el arranque, antes de que se ejecute cualquier código de firmware. Loscomponentes de firmware protegidos pueden incluir BIOS Flash, BMC Flash, SPI Descriptor, Intel® Management Engine y el firmware de la fuente de alimentación.
Las plataformas confiables, que preservan la privacidad, incorporadas en los próximos procesadores Xeon Scalable de 3ª Generación, contribuirán a impulsar servicios, modelos de uso y soluciones innovadoras todavía más grandes para las organizaciones que buscan activar el valor total de sus datos.