Det är ingen hemlighet: Varför Xilinx gick med i Confidential Computing Consortium

 Vi är glada att meddela att Xilinx nyligen gick med i Konfidentiellt databehandlingskonsortium (CCC) för att driva ansträngningarna att utvidga Confidential Computing till acceleratorer och SmartNIC. Innan vi dyker in i detaljerna om varför vi gick med i konsortiet bör vi kanske förklara vad Confidential Computing är och vilka företag som utgör Confidential Computing Consortium.

Liksom materia finns data i tre tillstånd: data i vila; i transit; och vid användning. Under de senaste decennierna har standardgrupper och teknikföretag reaktivt tillämpat säkerhet på de två första. Säkerhet innebär ofta kryptering, så data i vila använder idag krypteringsalgoritmer som AES-XTS medan data under transitering använder teknik som SSL, TLS och IPsec. Därefter skyddade vi data i vila genom att först kryptera filer, sedan senare logiska volymer och fysiska enheter. Ofta är hackare inte nöjda med verktyg från hyllan; de är stolta över att upptäcka nya sätt att utnyttja system. Det finns till och med mörka webbplatser där hackare skryter om nya metoder som de har upptäckt för att kompromissa med system, och de delar ibland sitt arbete. Hackare tittade på och komprometterad kod som inte hade berörts på decennier vilket resulterade i Shellshock säkerhetsfel. Därefter började hackare utforska arkitektoniska element i systemet, som minne, och producerade Härdsmälta hårdvarusårbarhet. De slet sedan igenom CPU: n och fann att de kunde utnyttja spekulativ körning genom att lura CPU-register, vilket resulterade i spöke sårbarhet som påverkar mikroprocessorer. Det är här Confidential Computing kommer in. 

Confidential Computing försöker säkra data i minnet, reser till och från värd-CPU: n och slutligen under körning på värd-CPU: n. Det gör detta genom att skapa en hårdvarubaserad, betrodd körningsmiljö (TEE). Förra våren Linux Foundation insåg att omfattande tillit till offentliga moln krävde en mer avancerad helhetssyn på säkerheten. Därför lanserade de Konfidentiellt databehandlingskonsortium. Premiermedlemmarna är Accenture, Ant Group, ARM, Facebook, Google, Huawei, Intel, Microsoft och Redhat. Det finns över ett dussin allmänna medlemmar, som inkluderar företag som AMD, NVIDIA och VMWare.

Confidential Computing kan uppnås genom att montera en TEE helt i hårdvara. De tre stora CPU-plattformsleverantörerna: Intel, AMD och ARM, alla stöder en TEE. Intel har producerat Software Guard Extensions (SGX)AMD erbjuds upp Secure Encrypted Virtualization (SEV)och ARM har Trustzone. Utvecklare kan utnyttja dessa TEE-plattformar, men alla är olika, vilket innebär att kod skriven för SGX inte fungerar på en AMD-processor. Så var passar Xilinx in? Vårt mål är att förstå hur vi kan utöka en TEE till ett acceleratorkort eller tillhandahålla en metod för att säkert överlämna data och kod mellan en värd-TEE och en som körs inom acceleratorkortet.

Vid denna punkt utforskar vår datacentergrupp (DCG) två vägar. Först genom vår starka allians med AMD, och vi utforskar SEV för att bättre förstå hur det kan kartläggas till DCGs framtida acceleratorproduktplaner. Den andra vägen innebar vår licensiering av ARM-kärnkonstruktioner, som ingår i många av våra marker för att hantera kontrollplanuppgifter. ARM har flera andra forskningsprojekt på gång som de har föreslagit för CCC som ytterligare utökar TrustZone på sätt som kan göra det mycket lättare för oss att säkra ett acceleratorkorts exekveringsmiljö. Vi har redan inlett diskussioner med ARM-teamet och hoppas kunna lära oss mer under de kommande månaderna när vi börjar formulera våra säkerhetsplaner för framtiden.   

Vi tror att CCC: s bidrag kommer att ge betydande framsteg för branschen som kommer att främja accelerationen av datacentrelösningar med beräkningsförtroende och säkerhet för nästa generations moln- och kantdatorer.

Källa: https://forums.xilinx.com/t5/Xilinx-Xclusive-Blog/It-s-No-Secret-Why-Xilinx-Joined-the-Confidential-Computing/ba-p/1185887