Intel renforce la sécurité des VM sur ses Xeon Sapphire Rapids
En plus de l'ajout d'une capacité supplémentaire à son framework TDX (Trust Domain Extensions), Intel intègre une « pile fantôme » dans la quatrième génération de Xeon afin de contrer une dangereuse tactique de cyberattaque.
Annoncée la semaine dernière, la famille de puces pour serveurs Xeon de quatrième génération d'Intel s'enrichit de plusieurs fonctionnalités de sécurité en lien avec la stratégie Confidential Computing de l'entreprise. Les améliorations apportées à l'environnement d'exécution de confiance d'Intel (Trusted Execution Environment ouTEE) et une technique de lutte contre les attaques basées sur la programmation orientée saut et retour sont les mises à jour les plus notables. La quatrième génération de Xeon introduit un certain nombre de fonctionnalités dans tous les domaines, notamment des améliorations significatives de l'efficacité énergétique, des traitements IA et de la gestion des charges de travail à la périphérie. Mais les points forts de la sécurité sont la technologie d'isolation des machines virtuelles (VM) et la mise en application du contrôle des flux ou Control-Flow Enforcement Technology. La première technique permet d'isoler les machines virtuelles au niveau matériel, sans avoir besoin de la surveillance de l'hyperviseur, si bien qu'une VM entière peut séjourner et fonctionner dans un environnement de confiance au lieu d'une seule application. Il existe de nombreuses options pour les environnements d'exécution de confiance dans d'autres domaines de la pile, mais Amy Santoni, l'architecte en chef de la sécurité Xeon chez Intel, a déclaré que toutes ces options n'offraient pas les mêmes capacités ou ne répondaient pas aux mêmes normes.
Sécuriser les environnements virtuels
« Cela dépend de ses objectifs pour l'environnement de confiance concerné », a déclaré Mme Santoni. « Dans le cloud actuel, plusieurs clients peuvent exploiter le même matériel avec la technologie de virtualisation, mais dans un environnement cloud ordinaire, l'hyperviseur a toujours accès à toutes les données de ces VM si vous le lui permettez. Il n'y a rien au niveau matériel pour empêcher une VM d'accéder aux données », a-t-elle expliqué. Cette isolation est assurée par le framework Trust Domain Extensions d'Intel, qui fonctionne déjà avec Microsoft Azure, Google Cloud, Alibaba et IBM. Pour l'instant, aucun calendrier n'a été fourni pour l'intégration d'AWS. Précisons que ce dernier a ses propres offres "informatique confidentielle", tandis que Microsoft a également des instances de machines virtuelles avec les fonctionnalités de sécurité avec les puces AMD Epyc.
Déjà mise en oeuvre par Intel dans les processeurs Core axés sur les points d'extrémité, mais nouvelle dans la famille Xeon, la fonctionnalité Control-Flow Enforcement vise à éradiquer diverses techniques de cyberattaque basées sur la programmation orientée retour (Return-oriented programming, ROP) et sur programmation orientée saut (Jump-oriented programming). L'idée de ces attaques est de réorganiser l'ordre dans lequel les morceaux de code sont renvoyés à l'application, à des fins malveillantes. « La technique consiste à prendre des bribes de code réel, libéré, mais avec la capacité de manipuler leur ordre », a encore expliqué Amy Santoni. Cependant, Control-Flow Enforcement ajoute une pile secondaire ou « pile fantôme » à la pile normale utilisée pour ordonner l'exécution des instructions. Elle est totalement inaccessible aux programmeurs et ne peut donc pas être manipulée par un mauvais acteur. L'ordre des instructions est comparé à la « pile fantôme », qui déclenche une erreur si elles ne sont pas dans la bonne séquence.
Vérification à distance de la sécurité cloud avec Amber
Enfin, Intel a introduit le projet Amber, déjà annoncé, dans cette quatrième génération de Xeon. Décrite comme une capacité « out-of-station » pour son environnement d'exécution de confiance, elle permet aux utilisateurs de valider que leurs charges de travail s'exécutent sur du matériel Intel, indépendamment des informations fournies par les fournisseurs de services cloud. « L'idée est de donner aux clients la possibilité de valider la configuration de l'environnement dans lequel ils s'exécutent », a déclaré l'architecte en chef de la sécurité Xeon chez Intel. « Cela ne veut pas dire que les fournisseurs de cloud ne le fournissent pas. C'est une option supplémentaire, un peu comme quand on achète un véhicule d'occasion chez un concessionnaire, et que l'on veut [quand même] le confier à un mécanicien indépendant ». La cinquantaine de puces différentes de la famille Xeon de quatrième génération sera disponible en précommande à partir du 15 février.