זה לא סוד: מדוע הצטרף קסילינקס לקונסורציום המחשוב הסודי

 אנו נרגשים לבשר כי Xilinx הצטרפה לאחרונה ל קונסורציום מחשוב מחושב (CCC) כדי לעזור להניע את המאמץ להרחיב את המחשוב הסודי לתוך מאיצים ו-SmartNIC. לפני שנצלול לפרטים מדוע הצטרפנו לקונסורציום, אולי כדאי שנסביר מהו מחשוב סודי, ומהן החברות המרכיבות את קונסורציום המחשוב הסודי.

כמו חומר, נתונים קיימים בשלושה מצבים: נתונים במנוחה; במסלול משלוח; ובשימוש. במהלך העשורים האחרונים, קבוצות תקנים וחברות טכנולוגיה יישמו באופן תגובתי אבטחה על שני הראשונים. אבטחה כרוכה לעתים קרובות בהצפנה, כך ש-Data-at-rest כיום משתמש באלגוריתמי הצפנה כמו AES-XTS בעוד נתונים במעבר משתמשים בטכנולוגיות כמו SSL, TLS ו-IPsec. לאחר מכן, אבטחנו נתונים במנוחה על ידי הצפנת קבצים תחילה, ולאחר מכן נפחים לוגיים וכוננים פיזיים. לעתים קרובות האקרים אינם תוכן המשתמשים בכלי המדף; הם מתגאים בגילוי דרכים חדשות לניצול מערכות. ישנם אפילו אתרי אינטרנט אפלים שבהם האקרים מתפארים בשיטות חדשות שגילו לפגיעה במערכות, ולפעמים הם חולקים את עבודתם. האקרים הסתכלו על קוד, ובכך התפשרו, שלא נגעו בו במשך עשרות שנים הלם קרב באג אבטחה. לאחר מכן, האקרים החלו לחקור אלמנטים ארכיטקטוניים של המערכת, כמו זיכרון, והפיקו את המשבר פגיעות חומרה. לאחר מכן הם קרעו את ה-CPU וגילו שהם יכולים לנצל ביצוע ספקולטיבי על ידי הטעיית אוגרי מעבד, וכתוצאה מכך  ספקטרום פגיעות המשפיעה על מיקרו-מעבדים. כאן נכנס לתמונה מחשוב סודי. 

מחשוב סודי שואף לאבטח נתונים בזיכרון, נסיעה אל וממנו ה-CPU המארח, ולבסוף, במהלך הביצוע על ה-CPU המארח. זה עושה זאת על ידי יצירת מבוסס חומרה, סביבת ביצוע מהימנה (TEE). באביב האחרון, ה קרן לינוקס הבין שהסתמכות נרחבת על עננים ציבוריים דורשת גישה הוליסטית מתקדמת יותר לאבטחה. לפיכך, הם השיקו את קונסורציום מחשוב מחושב. החברים בפרמייר הם Accenture, Ant Group, ARM, Facebook, Google, Huawei, Intel, Microsoft ו-Redhat. ישנם יותר מתריסר חברים כלליים, הכוללים חברות כמו AMD, NVIDIA ו-VMWare.

ניתן להשיג מחשוב סודי על ידי הרכבת TEE כולו בחומרה. שלושת הספקים העיקריים של פלטפורמת ה-CPU: אינטל, AMD ו-ARM, כולם תומכים ב-TEE. אינטל ייצרה תוספות משמר תוכנה (SGX), מוצעים של AMD וירטואליזציה מוצפנת מאובטחת (SEV), ול-ARM יש TrustZone. מפתחים יכולים למנף את פלטפורמות ה-TEE הללו, עם זאת, כל אחת מהן שונה, כלומר קוד שנכתב עבור SGX לא יעבוד על מעבד AMD. אז, איפה Xilinx משתלב? המטרה שלנו היא להבין כיצד אנו יכולים להרחיב TEE לתוך כרטיס מאיץ או לספק שיטה למסור נתונים וקוד בצורה מאובטחת בין TEE מארח לבין אחד שמבצע בתוך כרטיס המאיץ.

בשלב זה, קבוצת מרכז הנתונים שלנו (DCG) בוחנת שני נתיבים. ראשית, באמצעות הברית החזקה שלנו עם AMD, ואנו בוחנים את SEV כדי להבין טוב יותר כיצד הוא עשוי להתמקם לתוכניות מוצר האקסלרטור העתידיות של DCG. הדרך השנייה כללה את הרישוי שלנו לעיצובי ליבת ARM, הכלולים ברבים מהשבבים שלנו לטיפול במשימות מטוסי בקרה. ל-ARM יש עוד כמה פרויקטים מחקריים בעיצומם שהם הציעו ל-CCC שמרחיבים עוד יותר את TrustZone בדרכים שעשויות להקל עלינו הרבה יותר לאבטח את סביבת הביצוע של כרטיס האצה. כבר התחלנו בדיונים עם צוות ARM ומקווים ללמוד עוד במהלך החודשים הקרובים כשנתחיל לגבש את תוכניות האבטחה שלנו לעתיד.   

אנו מאמינים שהתרומות של ה-CCC יביאו התקדמות משמעותית לתעשייה שתקדם את האצת פתרונות מרכז הנתונים עם אמון חישובי ואבטחה עבור הדור הבא של ענן ומחשוב קצה.

מקור: https://forums.xilinx.com/t5/Xilinx-Xclusive-Blog/It-s-No-Secret-Why-Xilinx-Joined-the-Confidential-Computing/ba-p/1185887