行穩(wěn)才能致遠——AMD第三代EPYC處理器，以安全的計算構(gòu)建業(yè)務的安全

時間：2021-07-05 22:11:29

關(guān)鍵字： AMD 處理器 EPYC

手機看文章

掃描二維碼
隨時隨地手機看文章

[導讀]沒有安全的業(yè)務，比沒有業(yè)務更可怕！

Digital Security安全生產(chǎn)，人人有責！
對于這句口號，絕大多數(shù)國人都不會感到陌生。在持續(xù)數(shù)十年的基建狂潮之中，這句標語曾經(jīng)無數(shù)次的出現(xiàn)在各類施工現(xiàn)場最顯眼的位置。而當數(shù)字時代轟然到來，傳統(tǒng)基建變?yōu)樾禄?，越來越多企業(yè)也開始以更積極的姿態(tài)擁抱數(shù)字化轉(zhuǎn)型。
而在如火如荼的數(shù)字化轉(zhuǎn)型當中，施工現(xiàn)場都從物理空間遷入了看不見、摸不著的數(shù)字空間，我們應該在哪里懸掛“安全生產(chǎn)，人人有責”的標語呢？

01不安全的業(yè)務，比沒有業(yè)務更可怕

在剛剛過去的5月，新西蘭一家醫(yī)院遭遇勒索病毒攻擊，為了恢復受影響的軟硬件系統(tǒng)，該醫(yī)院不得不取消了當周20%的選擇性手術(shù)和門診預約。面對黑客的勒索行為，當?shù)匦l(wèi)生部門官員表示并不打算支付贖金。
同樣是5月，北美最大的石油管道公司Colonia也遭受了勒索軟件的襲擊，事件造成大量加油站的汽油供應中斷；而這也引起了消費者的緊張情緒，越來越多人開始受影響在加油站門前排隊加油，以防出行受到影響。與新西蘭醫(yī)院系統(tǒng)的抉擇不同，為了盡快恢復石油供應，Colonia公司迅速做出向黑客支付贖金的決定，這一決策這也將事件的影響周期縮短至兩周以內(nèi)。
而最新的情況則是，美國政府出手，通過在全球范圍內(nèi)的服務器中追查贖金（比特幣）流動情況，幫助Colonia公司追回了大部分損失。
接連不斷發(fā)生的信息安全威脅事件讓所有企業(yè)都意識到，不安全的業(yè)務甚至比沒有業(yè)務更糟糕。而且，并非所有政府都有能力或精力，出手幫助遭遇黑客侵害的企業(yè)。
在看不見的虛擬空間中，企業(yè)應該如何保護自己的業(yè)務和數(shù)據(jù)？面對層出不窮的新型威脅，企業(yè)如何做到防患于未然？
02追根溯源，安全的計算是關(guān)鍵信息安全是ICT系統(tǒng)建設過程中一個老生常談的問題，也是一個始終處在“道高一尺、魔高一丈”狀態(tài)下的棘手問題。為了保障業(yè)務和數(shù)據(jù)的安全，企業(yè)需要不斷升級自身的防御能力，不斷更新防火墻和殺毒軟件的信息庫，不斷投入資金和人力。顯然，從任何角度來看，這種“無底洞”似的安全模式既不經(jīng)濟，也不高效。
難道，即便在數(shù)字時代，企業(yè)也只能對威脅聽之任之；用猶未晚矣來安慰自己的亡羊補牢？

計算是企業(yè)從數(shù)據(jù)中獲取價值的關(guān)鍵一步。同樣的，計算也是黑客和任何攻擊手段發(fā)揮作用的關(guān)鍵。在IT系統(tǒng)中植入有漏洞的應用或各類木馬病毒只是打破了企業(yè)的城墻，真正的攻擊行為仍需受害者的服務器去執(zhí)行這些威脅程序或?qū)θ肭中袨樽龀觥罢_”響應。
因此，從計算入手阻斷安全威脅或?qū)⒊蔀槠平獍踩跃值娜滤悸贰?br /> 在這一思路中，AMD已經(jīng)走在了行業(yè)的前列；其方法正是從硬件入手，構(gòu)建安全的計算，進而實現(xiàn)數(shù)據(jù)安全和業(yè)務安全。
03第三代EPYC中增強的Secure Processor憑借改進的三級緩存調(diào)用機制和架構(gòu)層面的一系列優(yōu)化，AMD第三代EPYC（霄龍）處理器能夠?qū)崿F(xiàn)19%的IPC性能提升。同時，7nm先進制程所帶來的高能效表現(xiàn)、64核心的強大并行計算虛擬化性能以及對PCI-E 4.0接口的支持也都讓第三代EPYC處理器成為了云服務提供商和企業(yè)的在構(gòu)建新一代基礎架構(gòu)時的優(yōu)勢之選。
不過，在數(shù)量繁多的創(chuàng)新點之中，集成在第三代EPYC處理器中的Secure Processor和眾多安全功能則是AMD針對企業(yè)數(shù)字安全所做出的重大創(chuàng)新。當然，Secure Processor（安全處理器）在第一、二代EPYC處理器中就已經(jīng)采用，但在第三代中進一步增強。
內(nèi)存加密，讓竊密者無法獲取有效信息

針對黑客最看重的系統(tǒng)內(nèi)存，第三代EPYC處理器內(nèi)置了SME功能；用戶可以通過相當?shù)偷男阅軗p失來對系統(tǒng)內(nèi)存中的數(shù)據(jù)進行全面加密，讓黑客即便得手也無法從加密數(shù)據(jù)中獲取有效信息。
三重保護，讓虛擬機無比穩(wěn)固

針對以虛擬化形態(tài)部署的各類應用，第三代EPYC處理器提供了SEV、SEV-ES和SEV-SNP等三種保護措施。其中SEV能夠使用特殊秘鑰對所有運行中的虛擬機進行加密；SEV-ES則能夠通過對CPU寄存器的全面保護來進一步確保加密虛擬機的完整性不受破壞；而SEV-SNP則能夠通過對嵌套的分頁行為進行保護，進而防止惡意管理程序獲取虛擬機和權(quán)限。
三重技術(shù)層層遞進，從多個層面對運行在CPU核心上的虛擬機進行全方位的加密和保護。而通過CPU內(nèi)部的硬件模塊來實現(xiàn)這些功能，則有助于降低企業(yè)在構(gòu)建安全計算時所付出的性能開銷。
控制權(quán)，始終在正確的人手中
針對近幾年非常流行的控制流劫持攻擊，AMD也在處理器中集成了全新的Shadow Stack功能。通過防止處理器緩沖區(qū)溢出，黑客便無法借助這一漏洞獲取目標機器的控制權(quán)或?qū)ν{操作進行提權(quán)。
保證代碼完整性，不給黑客可乘之機
通過將原本正確的代碼替換為惡意或包含漏洞的代碼，黑客可以發(fā)起種類繁多的竊密或攻擊行為。而第三代EPYC處理器內(nèi)置的GMET功能則可以在CPU執(zhí)行代碼之前，確保代碼完整性未受損害。由此，黑客處心積慮替換代碼所換來的也只能是一場空。

更進一步的，通過硬件級別的啟動過程防護，第三代EPYC平臺可以確保芯片內(nèi)置的ROM、硬盤中的Boot Loader、BIOS以及UEFI系統(tǒng)不被篡改，從而在基于OS的安全措施生效之前，為系統(tǒng)提供全面防護。
多種層面不同針對性的硬件安全模塊共同組成了第三代EPYC中增強的Secure Processor，讓企業(yè)能夠更輕松的構(gòu)建安全的計算環(huán)境，不給黑客可乘之機。
04數(shù)字時代，安全生產(chǎn)不靠口號伴隨數(shù)字化轉(zhuǎn)型的進行，企業(yè)的生產(chǎn)行為已經(jīng)越來越離不開數(shù)字空間中的各類應用。雖然企業(yè)無法通過懸掛標語和口號的形式來保證數(shù)字化生產(chǎn)安全，但處理器安全技術(shù)的進步卻給了企業(yè)另一個更簡單、更直接的安全選項。而現(xiàn)在，AMD所引領的處理器安全風潮正在積極影響行業(yè)，越來越多的芯片企業(yè)也開始在處理器中內(nèi)置各類安全模塊和功能。

行穩(wěn)，才能致遠；AMD所倡導的計算安全之道正在將企業(yè)從被動安全的桎梏中解放出來，讓企業(yè)能夠更主動、更高效的實現(xiàn)安全，進而更快、更好的完成數(shù)字化轉(zhuǎn)型。