Comprendere Intel® Software Guard Extensions (Intel® SGX)
Oggi le soluzioni di sicurezza provvedono alla crittografia quando i dati sono nello storage e quando vengono trasmessi in rete, ma i dati rimangono vulnerabili mentre sono attivamente elaborati nella memoria. Il database Common Vulnerabilities and Exposures (CVE)1, ad esempio, contiene oltre 11.000 vulnerabilità potenzialmente sfruttabili, il 34% delle quali ancora senza soluzioni. Intel® SGX, bypassando i livelli software del sistema operativo (OS) e della macchina virtuale (VM), offre una significativa protezione contro molti di questi tipi di attacchi, protegge meglio i dati e risponde alla necessità di un computing più riservato. Fornisce una soluzione di sicurezza basata su hardware che sfrutta la crittografia per modificare l'accesso alla memoria, creando aree protette di memoria per l'esecuzione dell'applicazione e dei suoi dati. Intel® SGX consente inoltre di verificare l'applicazione e l'hardware che la esegue.
Che cos'è un attacco al canale laterale? È preoccupante?
Gli attacchi ai canali laterali si basano sull'uso di informazioni quali gli stati di alimentazione, le emissioni e i tempi di attesa, ricavati direttamente dal processore, per dedurre indirettamente schemi di utilizzo dei dati. Questi attacchi sono molto complessi e difficili da eseguire e richiedono la violazione dei data center di un'azienda a più livelli: fisico, di rete e di sistema.
Gli hacker seguono tipicamente il percorso di minore resistenza. Oggigiorno, questo significa tipicamente attaccare il software. Sebbene Intel® SGX non sia appositamente progettato per proteggere dagli attacchi ai canali laterali, offre una forma di isolamento per il codice e i dati che alza significativamente l'asticella per gli aggressori. Intel continua a lavorare con i suoi clienti e la comunità di ricerca in modo da identificare potenziali rischi associati ai canali laterali e mitigarli. Nonostante l'esistenza di vulnerabilità del canale laterale, Intel® SGX rimane uno strumento prezioso, perché offre un potente livello di protezione supplementare.
Ci si può fidare di Intel® SGX?
Intel® SGX è l'ambiente di esecuzione attendibile (TEE) basato su hardware più testato, studiato e implementato nei data center, forte della minore esposizione possibile agli attacchi. In caso di rigorose esigenze di privacy e sicurezza, Intel® SGX offre un vantaggio strategico chiarissimo.
Le buone notizie per i clienti protetti da Intel® SGX sono che, oltre a contribuire alla difesa dalla miriade di attacchi più comuni basati su software, i meccanismi di attestazione di Intel® SGX permettono anche di verificare che l'applicazione non sia stata compromessa e che il processore su cui viene eseguita abbia implementato gli ultimi aggiornamenti di sicurezza.
Intel® SGX protegge da migliaia2 di minacce note e sconosciute, molte delle quali non hanno ancora trovato soluzioni alternative. Il codice e i dati rimangono significativamente più protetti con Intel® SGX.