معرفی فناوری SGX اینتل

فناوری SGX یا فناوری Software Guard Extensions اینتل ، مجموعه‌ای از دستورالعمل‌ها و ویژگی‌های CPU است که به برنامه‌ها اجازه می‌دهد تا با ایجاد محصورات امن یا مناطق محافظت‌شده در حافظه که به عنوان enclave شناخته می‌شوند از سایر قسمت‌های سیستم محافظت کنند. این محفظه‌ها برای جلوگیری از دسترسی غیرمجاز به داده‌ها یا کدهای حساس طراحی شده‌اند و می‌توان از آنها برای محافظت از برنامه‌ها، داده‌های کاربر و فایل‌های سطح سیستم (system-level) در برابر حملات مخرب یا سرقت استفاده کرد. طبق مقاله ای که توسط آزمایشگاه علوم کامپیوتر و هوش مصنوعی MIT منتشر شده است، هدف اصلی فناوری SGX حل مشکل محاسبات از راه دور ایمن یا مشکل اجرا و نگهداری نرم افزار بر روی یک رایانه راه دور متعلق به شخص غیرقابل اعتماد است. در ادامه با ارائه ی توضیحی مفصل در مورد این فناوری به شما کمک خواهیم کرد تا در انتخاب بهترین CPU سرور آگاهانه تر عمل نمایید.

تاریخچه پیدایش فناوری SGX

در مدل‌های امنیتی قدیمی، امنیت داده‌ها عمدتاً به نرم‌افزار سیستم و الگوریتم‌های رمزنگاری استاندارد وابسته بود. این روش برای محافظت از داده های حساس در برابر حملاتی مانند بدافزارها که اغلب می توانند به سیستم عامل دسترسی پیدا کرده و داده های حساس را از حافظه بخوانند، کافی نیست.

اینتل ، SGX  را به عنوان پاسخی به تعداد رو به رشد نقض اطلاعات و حوادث امنیتی موثر بر مشاغل و افرادی که در سال‌های گذاشته با آن روبرو شدند، معرفی نمود. هدف SGX ارائه یک محیط اجرای ایمن مبتنی بر سخت افزار است که از داده های حساس حتی اگر سیستم به خطر بیفتد محافظت نماید.

SGX با انتشار ریزمعماری Skylake اینتل در سال 2015 معرفی شد و به طور خاص، اینتل اولین پردازنده های Intel Xeon با فناوریSGX را در سال 2016 به بازار عرضه و به انتشار به روز رسانی ها برای پشتیبانی از SGX در نسخه های جدیدتر CPU ادامه داد.

هدف فناوری SGX برای غلبه بر مشکل مذکور با ارائه یک ویژگی محصور امن است که در آن کد و داده های حساس را می توان ایزوله و محافظت کرد. این فناوری می‌تواند به ارائه سطح بالاتری از امنیت برای برنامه‌ها و محافظت در برابر حملاتی مانند حملات side-channel  کمک کند، جایی که مهاجم از نقاط ضعف الگوریتم‌های رمزنگاری برای سرقت داده‌های حساس سوء استفاده می‌کند. چنین داده‌های حساسی شامل اطلاعاتی مانند سوابق پزشکی، سوابق مالی، رمز عبور، کلیدهای رمزگذاری، عوامل شناسایی بیومتریک می‌شود – هر گونه اطلاعاتی که در صورت افشا یا اصلاح می‌تواند باعث آسیب شود.

به طور کلی، هدف فناوری SGX بهبود امنیت برای کاربران و شرکت‌هایی است که برای اپلیکیشن ها و عملیات حساس، به سیستم‌های محاسباتی متکی هستند.

 

پردازنده های مجهز به فناوری SGX

برخی از نمونه‌هایی از سرورهایی که از Intel SGX پشتیبانی می‌کنند عبارتند از: سری پردازنده‌های Intel Xeon Scalable از خانواده SP ،D، H) Skylake و  M) و پردازنده‌های نسل دهم Comet Lake) Intel Core برای موبایل و دسکتاپ و  Ice Lake برای موبایل) ، برخی از پردازنده‌های Atom و پردازنده هایی همچون Intel Xeon W-1290P  و Intel Xeon E-2100

 

ویژگی های فناوری SGX

مزیت کلیدی SGX توانایی آن در ارائه محیطی امن برای اجرای برنامه ها است که به محافظت از داده ها و کدهای حساس در برابر تهدیداتی مانند بدافزارها، روت کیت ها و انواع دیگر حملات کمک می کند. SGX را می توان توسط طیف گسترده ای از برنامه ها، از مرورگرهای وب و نرم افزارهای بهره وری تا پلتفرم های معاملات مالی و سرویس های ابری استفاده نمود.

فناوری SGX با ایجاد محصورهای امن باعث می شود که داده های حساس بتوانند ذخیره و پردازش شوند. این محصورها (Enclaves) در حافظه ایجاد می‌شوند و توسط مکانیسم‌های امنیتی مبتنی بر سخت‌افزار محافظت می‌شوند که از دسترسی یا تغییر محتوای دیگر برنامه‌ها یا فرآیندها جلوگیری می‌کند. این بدان معناست که حتی اگر سیستم عامل میزبان به خطر افتد یا رایانه به بدافزار آلوده شود، داده‌های داخل محصور امن باقی می‌مانند.

چنین ویژگی امنیتی به محافظت از کد برنامه و داده ها در برابر افشا یا تغییر از طریق استفاده از محفظه های رمزگذاری شده کمک می کند. این محصورها محیط های اجرایی ایزوله و قابل اعتمادی هستند که در حافظه ای جدا از سیستم عامل و هر اپلیکیشن دیگری که روی سیستم اجرا می شود وجود دارد. هدف فناوری SGX بهبود امنیت با این امکان است که توسعه دهندگان از داده های حساس یا محرمانه حتی در شرایطی که کل سیستم در خطر باشد، محافظت کنند.

یکی دیگر از ویژگی های مهم  SGX، توانایی آن در انجام تأیید از راه دور است؛ فرآیندی که به شخص مورد اعتماد اجازه می دهد تا از اصالت و عدم دستکاری نرم افزاری که روی سیستم اجرا می شود ، اطمینان حاصل کند. این ویژگی برای اطمینان دادن به مشتریان یا شرکا از اهمیت بالایی برخوردار است تا از این طریق مطمئن شوند که داده های حساس توسط نرم افزار و سخت افزار قابل اعتماد محافظت می شود .فناوری SGX ، امنیت مبتنی بر سخت‌افزار را فراهم می‌کند که از ترکیبی از معماری CPU و نرم‌افزار سیستم برای ایجاد محیطی امن به نام enclave استفاده می‌کند. Enclave (محصور)ها  از بقیه سیستم جدا شده‌اند و محیط اجرای امنی را برای نرم‌افزار فراهم می‌کنند. فناوری SGX از تأیید محلی و از راه دور برای تأیید هویت محتویات پشتیبانی می‌کند.

SGX  برای محافظت در برابر بسیاری از تهدیدات امنیت سایبری شناخته شده و فعال، مانند حمله نرم افزارهای مخرب، با کاهش سطح حمله سرورها و ایستگاه های کاری از طریق استفاده از محصورهای امن، که از اطلاعات در برابر فرآیندهای در حال اجرا در سطوح امتیاز بالاتر محافظت می کند، استفاده می شود.

بنابراین، اگر بدافزار پیچیده، به عنوان مثال، به لایه‌های OS، BIOS، VMM  یا SMM حمله کند، Intel SGX  با ارائه لایه حفاظتی اضافی از طریق قرار دادن داده‌های حساس شما در یک بخش ایزوله و رمزگذاری شده از آن ها حفاظت می کند. بنابراین، این لایه‌ها می‌توانند به خطر بیفتند، اما داده‌های شما همچنان محافظت می‌شوند، زیرا داده‌های برنامه ذخیره‌شده در خود محصور برای طرف‌های خارجی و تأیید نشده غیرقابل دسترسی است و بنابراین از تخریب، دستکاری یا ویرایش توسط کاربران غیرمجاز یا هکرها در امان می ماند.

 

مزایای استفاده از پردازنده های دارای فناوری SGX

با برشمردن ویژگی های برشمرده ی پردازنده های دارای فناوری SGX مزایای زیر برای کاربران حاصل می شود.

• برنامه‌های زمان اجرا، از طریق اجرا در محیط‌های امن SGX محافظت می‌شوند.
• ایمن سازی ارتباط دستگاه لبه اینترنت اشیا بین ابر و مشتری
• حفاظت از مالکیت معنوی
• ارتباطات ایمن بین فرستنده و گیرنده

 

 موارد استفاده از فناوری SGX

SGX در برنامه های مختلفی از جمله رمزگذاری و رمزگشایی (encryption and decryption) داده ها، محاسبات قابل اعتماد، مدیریت حقوق دیجیتال و محاسبات ابری امن استفاده شده است. این مسئله در زمینه‌های حفظ حریم خصوصی و امنیت بسیار مهم است و در این راه تلاش‌هایی برای استفاده از SGX برای توسعه فناوری‌های جدید امنیت و افزایش حریم خصوصی صورت گرفته است. هر فردی یا سازمانی که دارای پردازنده‌های اینتل با فناوری SGX باشد، می‌تواند حساس‌ترین داده‌های خود را با استفاده از SGX  ایمن نماید. اپلیکیشن ها و برنامه های نظامی، تجاری و صنعتی ، امور مالی و بیمه، مراقبت های بهداشتی و اجتماعی که به سرورها و ایستگاه های کاری دارای این نوع CPU ها هستند می توانند از چنین فناوری بهره مند شوند.

فن آوری SGX همچنین در برنامه های مختلفی از جمله در سرورها، دستگاه های تلفن همراه و محیط های محاسباتی سازمانی استفاده می شود. در زمینه رایانش ابری، SGX  می‌تواند کاربران را قادر به اجرای بارهای کاری(workload) حساس در سرویس‌های ابری شخص ثالث کند، بی آنکه بخواهند داده‌های خود در معرض دسترسی غیرمجاز قرار دهند. همچنین این فناوری در دستگاه های تلفن همراه ارزشمند است، جایی که امکان ذخیره ایمن اطلاعات حساسی همچون داده های بیومتریک ، پسوردها یا اطلاعات پرداخت را فراهم می آورد.

مکانیسم عمل فناوری  SGX

هنگام توسعه یک برنامه Intel SGX، برنامه نویس می تواند انتخاب کند که چه چیزی را محصور کند. هر برنامه SGX دارای دو بخش است: بخش غیر قابل اعتماد و بخش مورد اعتماد

وقتی که برنامه راه اندازی می شود، enclave (محصور) ایجاد می شود و آن enclave در قسمت محافظت شده قرار می گیرد.

Enclaveها  محیط هایی بسیار امن برای کار با داده ها هستند. کنترل دسترسی در داخل بخش‌های این حافظه قابل اعتماد اعمال می‌شود.

هنگامی که یک تابع enclave فراخوانی می شود، فقط کد درون enclave می تواند داده های آن را ببیند. دسترسی های خارجی همیشه ممنوع است. هنگام بازگشت، داده های محصور در حافظه محافظت شده باقی می مانند.

این فرآیند می تواند کمی انتزاعی به نظر برسد، به خصوص اگر با SGX آشنا نباشید. اما خوشبختانه اینتل کار بسیار خوبی برای تجزیه و تحلیل آن در خلاصه محصول Intel SGX خود انجام داده است.

در زمان اجرای دستورالعمل‌های Intel SGX، محفظه را در یک منطقه حافظه رمزگذاری‌شده ویژه با مکان ورود/خروج محدود که توسط توسعه‌دهنده تعریف شده است، می‌سازد و اجرا می‌کند. این به جلوگیری از نشت اطلاعات کمک می کند. کد enclave (محصور) و داده‌های داخل محیط CPU به صورت شفاف اجرا می‌شوند، و داده‌های enclave نوشته شده در حافظه رمزگذاری می‌شوند و یکپارچگی آن بررسی می‌شود، که کمک می‌کند تا حدی اطمینان حاصل شود که هیچ دسترسی غیرمجاز یا ردیابی حافظه از enclave رخ نمی‌دهد.

بخش غیر قابل اعتماد مسئول ایجاد محصور (enclave) و ارتباط در سراسر سیستم است. از اینجا، یک اپلیکیشن فقط توابع مورد اعتماد خاص را برای دسترسی به داده ها فراخوانی می کند.

بخش قابل اعتماد، محفظه ایجاد شده برای پردازش داده های حساس را ذخیره می کند. کد و داده ها به صورت متنی واضح و منحصراً در داخل محفظه نشان داده می شوند. داده‌هایی که یک تابع قابل اعتماد برمی‌گرداند در این قسمت حافظه امن باقی می‌ماند. CPU  تمام درخواست های خارجی را رد می کند و enclave محافظت می شود .سپس برنامه در قسمت غیرقابل اعتمادی که دیگر نظری نسبت به داده های حساس ندارد، کار خود را از سر می گیرد.

چیزی که enclave ها را ایمن می کند، رمزگذاری سخت افزاری خودکار است. فناوری SGX از CPU برای رمزگذاری اطلاعات و ذخیره کلید در داخل آن استفاده می کند. از این رو، یک طرف خارجی نمی تواند کلید را بدست آورد و داده ها را به خطر بیاندازد. این بدان معنی است که حتی ارائه دهنده ابر نمی تواند دسترسی داشته باشد. علاوه بر این، هنگامی که برنامه خارج می شود یا دستور تخریب یک محصور را می دهد، تمام اطلاعات با آن از بین می رود.

چه سرورهایی می توانند از پردازنده های دارای فناوری SGX پشتیبانی می کنند؟

 

با شروع عرضه ی پردازنده های مقیاس پذیر Xeon که از سه ماهه سوم 2015 ، همه پردازنده های سرور از Intel SGX پشتیبانی نمودند. پردازنده هایی همچون Intel® Xeon® E-2288G، Intel® Xeon® Gold 6326 و Intel® Xeon® Platinum 8352Y از این فناوری بهره برده اند.

فناوری SGX نیاز به پشتیبانی خاصی از CPU دارد و در همه سرورها در دسترس نیست. فقط برخی از مدل‌های CPU اینتل از فناوری SGX پشتیبانی می‌کنند، یعنی پلتفرم‌های Intel Xeon که از افزونه های نگهبان نرم‌افزار اینتل (Intel SGX) استفاده می‌کنند. علاوه بر این، اکثر دستگاه های دسکتاپ و موبایل با پردازنده های نسل ششم Intel Core از SGX پشتیبانی می کنند.

شایان ذکر است که همه ی اپلیکیشن ها با Intel SGX سازگار نیستند و توسعه‌دهندگان باید برای استفاده از دستورالعمل‌ها، فریمورک و کیت‌های توسعه نرم‌افزار اینتل SGX تغییرات خاصی در کد خود ایجاد کنند.

به طور کلی، پیش از خرید سرور hp اگر شما علاقه مند به استفاده از SGX بر روی سرور خود هستید، باید اطمینان حاصل کنید که سرور از یک پلتفرم پشتیبانی شده CPU اینتل استفاده می کند و برنامه شما با مجموعه دستورالعمل SGX سازگار است.

برای بررسی اینکه کدام پردازنده‌های اینتل از SGX استفاده می‌کنند، به صفحه جستجوی محصول اینتل مراجعه نمایید.

 

چگونه می توان Intel SGX را فعال یا غیرفعال نمود؟

طبق گفته اینتل، قبل از اینکه یک برنامه بتواند از Intel SGX استفاده کند، چهار شرط باید رعایت شود:

پردازنده‌های سرور یا ایستگاه‌های کاری باید از دستورالعمل‌های Intel SGX پشتیبانی کنند.

BIOS ها باید از Intel SGX نیز پشتیبانی کنند.

BIOS  باید Intel SGX را فعال کرده باشد.

نرم افزار پلتفرم SGX اینتل باید روی سرورها یا ایستگاه های کاری نصب شود.

اگر CPU های شما از Intel SGX پشتیبانی نمی کنند، تلاش برای فعال کردن SGX بیهوده است. با این حال، اگر CPU از آن پشتیبانی می کند، در مرحله بعدی برای فعال کردن SGX بایستی تایید نمود که BIOS از SGX پشتیبانی می کند.

 

آیا باید اینتل SGX را غیرفعال نمود؟

به طور کلی، در هیچ شرایطی نباید Intel SGX را غیرفعال کنید.

اگر قصد دارید از Intel SGX برای کمک به ایمن کردن برنامه‌ها و داده‌های حساس خود استفاده کنید، بایستی از غیرفعال کردن آن پرهیز کنید، زیرا غیرفعال کردن هیچ اپلیکیشنی محافظت از داده‌ها را تضمین نمی کند. اگر SGX غیرفعال باشد، حتی نمی‌توانید نرم‌افزار پلتفرم Intel SGX را نصب کنید.

برای جلوگیری از غیرفعال کردن ناخواسته Intel SGX ، کافی است عملکرد BIOS را روی نرم افزار کنترل کنید. به این ترتیب، هر بار که سیستم بوت می شود لازم نیست نگران دسترسی به ویژگی های فعال یا غیرفعال سازی باشید. شما فقط می توانید سیستم خود را بوت کنید و بدانید که Intel SGX به طور خودکار فعال شده است.

نتیجه گیری

 

فناوری SGX با ایجاد محیط اجرای امن ، برنامه ها را قادر می سازد تا از داده های حساس حتی در صورت نفوذ  به سیستم محافظت کنند. این فناوری با استفاده از امنیت مبتنی بر سخت‌افزار، ابزاری کارآمد و مؤثر را برای حفاظت از داده‌های حساس فراهم می‌کند و همین قضیه آن را به فناوری ارزشمند برای طیف گسترده‌ای از برنامه‌ها مبدل می‌کند. اینتل معتقد است که SGX منحنی یادگیری پایینی دارد، بنابراین توسعه دهندگان نیازی به صرف زمان زیادی برای کشف نحوه کارکرد و نحوه استفاده صحیح از آن ندارند.

به طور کلی، SGX  فناوری مهم در جهت افزایش امنیت و حریم خصوصی سیستم‌ها و برنامه‌هاست و احتمالاً در آینده نیز بخش مهمی از CPU های اینتل خواهد بود. توانایی این فناوری در ایجاد محصورهای امن و انجام تأیید از راه دور، آن را به ابزاری ارزشمند برای محافظت از داده ها و کدهای حساس در برابر حملات مخرب تبدیل می کند.

چنانچه مطالب ذکر شده برایتان مفید بود، به شما پیشنهاد می کنیم مقاله ی انواع CPU سرور را نیز مطالعه نمایید تا اطلاعات بیشتری در مورد CPU سرور بدست آورید.