Det er ingen hemmelighet: hvorfor Xilinx ble med i Confidential Computing Consortium

 Vi er glade for å kunngjøre at Xilinx nylig ble med i Konfidensiell datakonsortium (CCC) for å bidra til å drive arbeidet med å utvide Confidential Computing til akseleratorer og SmartNIC. Før vi dykker ned i detaljene om hvorfor vi ble med i konsortiet, bør vi kanskje forklare hva Confidential Computing er, og hvilke selskaper som utgjør Confidential Computing Consortium.

Som materie eksisterer data i tre tilstander: data i hvile; i transitt; og i bruk. I løpet av de siste tiårene har standardgrupper og teknologiselskaper reaktivt brukt sikkerhet på de to første. Sikkerhet involverer ofte kryptering, så data-at-rest bruker i dag krypteringsalgoritmer som AES-XTS mens data under overføring bruker teknologier som SSL, TLS og IPsec. Deretter sikret vi data i hvile ved først å kryptere filer, så senere logiske volumer og fysiske stasjoner. Ofte er ikke hackere fornøyd med å bruke hylleverktøy; de er stolte av å oppdage nye måter å utnytte systemer på. Det er til og med mørke nettsteder der hackere skryter av nye metoder de har oppdaget for å kompromittere systemer, og noen ganger deler de arbeidet sitt. Hackere så på og kompromitterte kode som ikke hadde blitt rørt på flere tiår, noe som resulterte i Granatsjokk sikkerhetsfeil. Deretter begynte hackere å utforske arkitektoniske elementer i systemet, som minne, og produserte Meltdown maskinvaresårbarhet. De rev deretter gjennom CPU-en og fant ut at de kunne utnytte spekulativ utførelse ved å lure CPU-registre, noe som resulterte i spektrum sårbarhet som påvirker mikroprosessorer. Det er her Confidential Computing kommer inn. 

Confidential Computing søker å sikre data i minnet, reiser til og fra verts-CPU, og til slutt under kjøring på verts-CPU. Den gjør dette ved å lage en maskinvarebasert, pålitelig utførelsesmiljø (TEE). I fjor vår ble Linux Foundation innså at omfattende avhengighet av offentlige skyer krevde en mer avansert helhetlig tilnærming til sikkerhet. Derfor lanserte de Konfidensiell datakonsortium. Premier-medlemmene er Accenture, Ant Group, ARM, Facebook, Google, Huawei, Intel, Microsoft og Redhat. Det er over et dusin generelle medlemmer, som inkluderer selskaper som AMD, NVIDIA og VMWare.

Konfidensiell databehandling kan oppnås ved å sette sammen en TEE helt i maskinvare. De tre store CPU-plattformleverandørene: Intel, AMD og ARM, støtter alle en TEE. Intel har produsert Software Guard Extensions (SGX), AMD tilbys opp Sikker kryptert virtualisering (SEV), og ARM har TrustZone. Utviklere kan utnytte disse TEE-plattformene, men hver er forskjellig, noe som betyr at kode skrevet for SGX ikke vil fungere på en AMD-prosessor. Så, hvor passer Xilinx inn? Målet vårt er å forstå hvordan vi kan utvide en TEE til et akseleratorkort eller tilby en metode for å levere data og kode på en sikker måte mellom en verts-TEE og en som kjører innenfor akseleratorkortet.

På dette tidspunktet utforsker datasentergruppen vår (DCG) to veier. For det første gjennom vår sterke allianse med AMD, og ​​vi utforsker SEV for å bedre forstå hvordan det kan kartlegges til DCGs fremtidige akseleratorproduktplaner. Den andre veien involverte vår lisensiering av ARM-kjernedesign, som er inkludert i mange av brikkene våre for å håndtere kontrollflyoppgaver. ARM har flere andre forskningsprosjekter på gang som de har foreslått til CCC som utvider TrustZone ytterligere på måter som kan gjøre det mye enklere for oss å sikre et akseleratorkorts utførelsesmiljø. Vi har allerede startet diskusjoner med ARM-teamet og håper å lære mer i løpet av de kommende månedene når vi begynner å formulere sikkerhetsplanene våre for fremtiden.   

Vi tror at bidragene fra CCC vil bringe betydelige fremskritt til industrien som vil fremme akselerasjonen av datasenterløsninger med beregningsmessig tillit og sikkerhet for neste generasjons sky- og edge-databehandling.

Kilde: https://forums.xilinx.com/t5/Xilinx-Xclusive-Blog/It-s-No-Secret-Why-Xilinx-Joined-the-Confidential-Computing/ba-p/1185887