Hardware-Security für Cloud und KI Xilinx tritt dem Confidential Computing Consortium bei

Autor / Redakteur: Sebastian Gerstl / Nico Litzel

Xilinx hat bestätigt, dem Confidential Computing Consortium (CCC) der Linux Foundation beigetreten zu sein. Ziel ist die Ausweitung des Confidential Computings auf Hardware-Beschleuniger und SmartNICs (Network-Interface-Cards).

Firmen zum Thema

Confidential Computing schützt Daten während des Rechnereinsatzes, indem Berechnungen in einer hardwarebasierten vertrauenswürdigen Ausführungsumgebung durchgeführt werden. Diese sicheren und isolierten Umgebungen verhindern den unbefugten Zugriff oder die Änderung von Anwendungen und Daten während der Nutzung und erhöhen so die Sicherheitsgarantien für Unternehmen, die sensible und regulierte Daten verwalten. Xilinx ist nun dem Confidential Computing Consortium von Linux beigetreten, um entsprechende sichere Umgebungen im Zusammenhang mit Cloud und KI mit voranzutreiben.
Confidential Computing schützt Daten während des Rechnereinsatzes, indem Berechnungen in einer hardwarebasierten vertrauenswürdigen Ausführungsumgebung durchgeführt werden. Diese sicheren und isolierten Umgebungen verhindern den unbefugten Zugriff oder die Änderung von Anwendungen und Daten während der Nutzung und erhöhen so die Sicherheitsgarantien für Unternehmen, die sensible und regulierte Daten verwalten. Xilinx ist nun dem Confidential Computing Consortium von Linux beigetreten, um entsprechende sichere Umgebungen im Zusammenhang mit Cloud und KI mit voranzutreiben.
(Bild: confidentialcomputing.io)

Im Oktober 2019 rief die Linux Foundation das sogenannte Confidential Computing Consortium (CCC) ins Leben. Ursache für die Gründung war unter anderem die Erkenntnis, dass die starke Abhängigkeit von öffentlichen Clouds einen fortschrittlicheren, ganzheitlichen Ansatz für die Sicherheit erfordert. Zahlreiche namhafte Technologievertreter gehören bereits dem CCC an: Zu den Premium-Mitgliedern zählen etwa Accenture, Ant Group, ARM, Facebook, Google, Huawei, Intel, Microsoft und Redhat. Es gibt mehr als ein Dutzend General-Mitglieder, zu denen Unternehmen wie AMD, NVIDIA und VMWare gehören.

Was ist Confidential Computing?

Wie Materie existieren auch Daten in drei Zuständen: Daten im Ruhezustand, in der Übertragung und im Gebrauch. In den letzten Jahrzehnten haben Standardisierungsgruppen und Technologieunternehmen reaktiv Sicherheitsmaßnahmen für die ersten beiden Zustände ergriffen. Sicherheit beinhaltet oft Verschlüsselung, sodass Daten im Ruhezustand heute Verschlüsselungsalgorithmen wie AES-XTS verwenden, während Daten im Transit Technologien wie SSL, TLS und IPsec nutzen. Als Nächstes haben wir Daten im Ruhezustand gesichert, indem wir zunächst Dateien, später dann logische Volumes und physische Laufwerke verschlüsselt haben. Oftmals geben sich Hacker nicht damit zufrieden, Tools von der Stange zu verwenden; sie sind stolz darauf, neue Wege zu entdecken, um Systeme auszunutzen. Es gibt schließlich Dark-Web-Seiten, auf denen Hacker mit neuen Methoden prahlen, die sie entdeckt haben, um Systeme zu kompromittieren, und manchmal teilen sie ihre Arbeit. Hacker untersuchten und kompromittierten Code, der seit Jahrzehnten nicht mehr angerührt worden war, was zum Shellshock-Sicherheitsbug führte. Als nächstes untersuchten die Hacker architektonische Elemente des Systems, wie z. B. den Speicher, und produzierten die Hardware-Schwachstelle Meltdown. Dann untersuchten sie die CPU und fanden heraus, dass sie spekulative Ausführung ausnutzen können, indem sie CPU-Register austricksen, was zu der Spectre-Schwachstelle führte, die Mikroprozessoren betrifft.

An dieser Stelle kommt Confidential Computing ins Spiel. Confidential Computing zielt darauf ab, Daten im Speicher, auf dem Weg zur und von der Host-CPU und schließlich während der Ausführung auf der Host-CPU zu sichern. Dies geschieht durch die Schaffung einer hardwarebasierten, vertrauenswürdigen Ausführungsumgebung (TEE).

Confidential Computing kann erreicht werden, indem ein TEE komplett in Hardware aufgebaut wird. Die drei großen CPU-Plattform-Anbieter: Intel, AMD und ARM, unterstützen alle ein TEE. Intel hat Software Guard Extensions (SGX) entwickelt, AMD bietet Secure Encrypted Virtualization (SEV) an, und ARM verfügt über TrustZone. Entwickler können diese TEE-Plattformen nutzen, allerdings ist jede unterschiedlich, d. h., Code, der für SGX geschrieben wurde, funktioniert nicht auf einem AMD-Prozessor. Wo passt Xilinx also hinein? Unser Ziel ist es, zu verstehen, wie wir ein TEE in eine Beschleunigerkarte integrieren oder eine Methode zur sicheren Übergabe von Daten und Code zwischen einem Host-TEE und einem TEE, das innerhalb der Beschleunigerkarte ausgeführt wird, bereitstellen können.

Beitritt zum CCC im Schatten schwerwiegender Akquisitionen und Merger

Xilinx hat sich nun auch offiziell der Umsetzung des Confidential Computings verschrieben . Die hauseigene Data Center Group (DCG) verfolgt nach dem oben beschriebenen Ansatz zwei Wege. Zum einen möchte sich das Unternehmen angesichts der anstehenden Übernahme durch AMD intensiv mit dem dort vertretenen SEV auseinandersetzen, um besser zu verstehen, wie es sich in die zukünftigen Beschleuniger-Produktpläne der DCG einfügen könnte.

Der zweite Weg beinhaltet die Lizenzierung von ARM-Core-Designs, die in vielen unserer Chips enthalten sind, um Aufgaben der Steuerungsebene zu übernehmen. ARM hat mehrere andere Forschungsprojekte am Laufen, die sie dem CCC vorgeschlagen haben und die TrustZone auf eine Art und Weise erweitern, die es für uns viel einfacher machen könnte, die Ausführungsumgebung einer Beschleunigerkarte zu sichern. Xilinx habe in dieser Richtung nach eigenen Angaben bereits Gespräche mit dem ARM-Team aufgenommen. Nach der angekündigten Übernahme von ARM durch den GPU-Spezialisten NVIDIA herrscht allgemein in der Branche Ungewissheit, wie es künftig mit der öffentlichen Zugänglichkeit und Lizensierung von ARM-Technologien aussieht.

Egal welcher Ansatz letztlich verfolgt wird, Xilinx legt große Hoffnungen auf die Entwicklung und die Bedeutung des Confidential Computings in seiner weiteren Zukunft. „Wir glauben, dass die Beiträge des CCC der Branche bedeutende Fortschritte bringen werden, die die Beschleunigung von Rechenzentrumslösungen mit rechnerischem Vertrauen und Sicherheit für die nächste Generation von Cloud- und Edge-Computing vorantreiben werden“, heißt es in einer Stellungnahme des Unternehmens im hauseigenen Blog.

Dieser Artikel stammt von unserem Partnerportal ElektronikPraxis.

(ID:47044695)