Intel ha revelado hoy el conjunto de nuevas prestaciones de seguridad que incluirá la 3ª Generación de la plataforma Intel® Xeon® Scalable, conocida como “Ice Lake”. De este modo, Intel duplica así su promesa de seguridad, llevando su pionera y reconocida Intel® Software Guard Extension (Intel® SGX) a todo el espectro de plataformas Ice Lake, junto con nuevas prestaciones que incluyen Intel® Total Memory Encryption (Intel® TME), Intel® Platform Firmware Resilience (Intel® PFR) y nuevos aceleradores criptográficos con el objetivo de fortalecer la plataforma y mejorar la confidencialidad e integridad general de los datos.
Los datos son un activo fundamental, tanto por el valor comercial que pueden aportar como por la protección que necesita la información personal. Por eso, la ciberseguridad es una preocupación primordial en la actualidad. En este sentido, las prestaciones de seguridad de Ice Lake permiten a los clientes de Intel desarrollar soluciones que ayuden a mejorar su nivel de seguridad y a reducir los riesgos relacionados con la privacidad y el cumplimiento normativo, como pueden ser aquellos datos regulados en servicios financieros o en atención sanitaria.
“La protección de los datos es esencial para poder extraer valor de ellos. Y gracias a las prestaciones de la próxima plataforma Xeon Scalable de 3ª Generación, ayudaremos a nuestros clientes a resolver sus desafíos más difíciles en materia de datos, a la vez que mejoramos la confidencialidad e integridad de los mismos. Con ello, ampliamos nuestro largo historial de asociaciones a través del ecosistema para impulsar las innovaciones en materia de seguridad”, dijo Lisa Spelman, corporate vice president, Data Platform Group and general manager, Xeon and Memory Group en Intel.
Protección de Datos en todas las soluciones de computación
Si bien tecnologías como el cifrado de discos y redes protegen los datos en almacenamiento y durante su transmisión, estos pueden ser vulnerables a la interceptación y la manipulación mientras se utilizan en la memoria. Ante esto, la “computación confidencial” es una categoría de uso en pleno crecimiento que protege los datos mientras se utilizan en un Entorno de Ejecución de Confianza (TEE, por sus siglas en inglés). Así, Intel SGX es el TEE más investigado, actualizado y probado en materia de informática confidencial del centro de datos, con la menor superficie de ataque dentro del sistema. Asimismo, permite el aislamiento de aplicaciones en regiones de memoria privada, llamadas enclaves, para ayudar a proteger hasta 1 terabyte de código y datos mientras se utiliza.
“Microsoft Azure fue la primera gran nube pública que ofreció computación confidencial, y en la actualidad es la que utilizan los clientes de industrias como la financiera, la sanitaria y la gubernamental”, dijo Mark Russinovich, chief technology officer, Microsoft Azure. “Azure ofrece opciones de computación confidencial para máquinas virtuales, contenedores, machine learning y más. Creemos que la próxima generación de procesadores Intel Xeon con Intel SGX, que incluye un cifrado total de la memoria y aceleración criptográfica, ayudará a nuestros clientes a desbloquear aún más escenarios de computación confidencial”.
Clientes como la Universidad de California San Francisco (UCSF, por sus siglas en inglés), NEC, Magnit y otras organizaciones provenientes de industrias altamente reguladas han confiado en Intel para dar apoyo a su estrategia de seguridad, utilizando Intel SGX con resultados probados. Por ejemplo, las organizaciones sanitarias pueden proteger los datos de manera más segura -incluyendo los historiales médicos en formato electrónico- con un entorno informático de confianza que protege mejor la privacidad del paciente. En otros sectores, como el retail, numerosas empresas confían en Intel para ayudar a mantener la confidencialidad de sus datos y proteger la propiedad intelectual. Intel SGX ayuda a los clientes a desbloquear nuevos escenarios de computación compartida entre múltiples partes, que han sido difíciles de construir en el pasado debido a complejos requisitos de privacidad, seguridad y regulación.
Del mismo modo, Intel también está introduciendo nuevas prestaciones de seguridad para mejorar la protección de datos y fortalecer la plataforma, incluyendo:
- Cifrado total de la memoria: Para proteger mejor la memoria completa de una plataforma, Ice Lake introduce una nueva prestación llamada Intel Total Memory Encryption (Intel TME). Intel TME ayuda a asegurar que toda la memoria a la que se accede desde la CPU de Intel® esté cifrada, incluyendo las credenciales del cliente, las claves de cifrado y otra información IP o personal incluida en el bloque de memoria externa. Intel ha desarrollado esta prestación para proporcionar una mayor protección de la memoria del sistema contra ataques de hardware, como la extracción y lectura del módulo de memoria dual en línea (DIMM) después de rociarlo con nitrógeno líquido, o la instalación de un hardware de ataque construido especialmente para ello. Utilizando el estándar de cifrado de almacenamiento del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés), AES XTS, se genera una clave de cifrado utilizando un generador de números aleatorios reforzado en el procesador y sin exposición al software. Esto permite que el software existente se ejecute sin modificaciones, protegiendo mejor la memoria.
- Aceleradores criptográficos: Uno de los objetivos de diseño de Intel es eliminar o reducir el impacto en el rendimiento del aumento de la seguridad, a fin de que los clientes no tengan que elegir entre una mejor protección y un rendimiento aceptable. En este sentido, Ice Lake presenta varias instrucciones nuevas que se utilizan en toda la industria, junto con innovaciones algorítmicas y de software, para ofrecer un rendimiento criptográfico innovador. Hay dos innovaciones fundamentales: la primera es una técnica para unir las operaciones de dos algoritmos que normalmente funcionan en combinación pero de forma secuencial, lo que les permite ejecutarse simultáneamente. La segunda es un método para procesar múltiples búferes de datos independientes en paralelo.
- Una mayor resistencia: Los adversarios más sofisticados pueden intentar comprometer o desactivar el firmware de la plataforma para interceptar los datos o derribar el servidor. Por eso, Ice Lake ha incluido Intel® Platform Firmware Resilience (Intel PFR) en la plataforma Intel Xeon Scalable para ayudar a protegerse contra dichos ataques del firmware. Y es que, Intel PFR está diseñada para detectarlos y corregirlos antes de que puedan comprometer o deshabilitar la máquina. Asimismo, Intel PFR utiliza una FPGA de Intel como raíz de confianza de la plataforma para validar los componentes críticos del firmware antes de que se ejecute cualquier código. Los componentes de firmware protegidos pueden incluir BIOS Flash, BMC Flash, SPI Descriptor, Intel® Management Engine y el firmware de la fuente de alimentación.
Las reconocidas plataformas de protección de la privacidad incluidas en los próximos procesadores Xeon Scalable de 3ª Generación ayudarán a impulsar servicios, modelos de uso y soluciones innovadoras aún mayores para las organizaciones que buscan activar el valor total de sus datos.
Para obtener más información sobre cómo Intel SGX puede ayudar a proteger las cargas de trabajo y los datos confidenciales, visite www.intel.com/sgx y www.confidentialcomputing.io.