L'infinito desiderio di larghezze di banda più elevate, interfacce dati più veloci e latenze inferiori stanno determinando cambiamenti nel modo in cui i dati vengono elaborati nei data center. L'espansione del cloud all'edge della rete ha introdotto un ampio uso delle tecniche di intelligenza artificiale (AI) per estrarre significato dai dati. Il supercomputing cloud ha prodotto acceleratori di dati innovativi e architetture di calcolo all'interno dei data center. Allo stesso tempo, le minacce provengono da molte direzioni e in molte forme. La voce della minaccia potrebbe trovarsi nell'infrastruttura di comunicazione Internet sotto forma di DoS, BotNet, Ransomware, Spyware, ecc. Oppure potrebbe essere tramite le vulnerabilità dell'API cloud e il dirottamento dell'account. Tutte queste minacce possono essere ampiamente classificate in attacchi alle comunicazioni, attacchi software, attacchi hardware invasivi e attacchi hardware non invasivi.
La combinazione delle due tendenze di cui sopra ha aumentato la necessità di una maggiore sicurezza e privacy dei dati all'interno dei data center. La sfida che i data center devono affrontare è come mantenere la sicurezza dei dati senza compromettere il throughput e le latenze. Alla fine della giornata, tutto si riduce all'abilitazione della sicurezza a livello di chip/SoC.
Dana Neustadter, Sr. Manager, Product Marketing for Security IP presso Synopsys è stata responsabile della presentazione all'IP-SoC Silicon Valley 2022 il mese scorso. La sua presentazione si è concentrata sulle sfide e sui modi di proteggere i dati in movimento e inattivi nei data center. Discute le tendenze che stanno guidando i requisiti più elevati e presenta soluzioni SoC per garantire la sicurezza di varie interfacce ad alta velocità. Questo post è una sintesi della sua presentazione. Puoi scaricare le sue diapositive di presentazione da qui.
Requisiti per soluzioni di sicurezza efficaci
I SoC incorporano una serie di diverse interfacce ad alta velocità per spostare i dati tra sistemi, memorie, storage e dispositivi periferici. Meccanismi di sicurezza efficaci devono proteggere sia i dati in movimento che i dati inattivi. Ciò comporta
- Autenticazione e gestione delle chiavi per l'implementazione
– Identificazione e autenticazione
– Generazione chiavi
– Distribuzione delle chiavi
- Controllo
- Integrità e crittografia dei dati tra gli endpoint per garantire
– Riservatezza
– Integrità
Ci sono ovviamente delle sfide quando si tratta dell'attuazione di questi meccanismi di sicurezza. Come aggiungere sicurezza al percorso dei dati mantenendo un throughput elevato a basse latenze? Come identificare in modo sicuro gli endpoint del percorso dati senza aggiungere un grande sovraccarico di elaborazione? Come stabilire una zona affidabile per la gestione e la gestione delle chiavi senza aggiungere all'area del silicio?
Aspetti chiave della fornitura di soluzioni di sicurezza efficaci
Ci sono standard imminenti per la creazione di macchine virtuali affidabili a livello di core/logico dell'applicazione per la gestione dei percorsi di dati dalle interfacce PCIe e CXL. Questi standard sono guidati rispettivamente dai consorzi PCI-SIG e CXL.
Nel frattempo, le aree di autenticazione e gestione delle chiavi, integrità e crittografia dei dati sono ben definite e guidate dagli standard esistenti.
- Autenticazione, attestazione, misurazione e scambio di chiavi sono implementati dai seguenti standard.
-DMTF: Protocollo di sicurezza e Data Module (SPDM), Management Component Transport Protocol (MCTP)
-PCI-SIG: Misurazione e autenticazione dei componenti (CMA), Data Object Exchange (DOE), Trusted Execution Environment I/O (TEE-I/O)
- Il componente di integrità e crittografia dei dati (IDE) che affronta la riservatezza, l'integrità e la protezione della riproduzione si basa sull'algoritmo crittografico AES-GCM ed è definito dagli standard PCIe 5.0/6.0 e CXL 2.0/3.0.
Offerte IP di sicurezza di Synopsys
Synopsys offre una serie completa di offerte IP per garantire la sicurezza contro la manomissione dei dati e gli attacchi fisici. Il grafico seguente mostra un esempio di SoC di rete per data center che mostra vari IP Synopsys Security per proteggere i dati.
Moduli di sicurezza IDE PCIe 5.0/ PCIe 6.0
Integrity and Data Encryption (IDE) per PCIe è offerto tramite un PCIe IDE Security Modules. È disponibile una versione per PCIe 5.0 che supporta tutte le velocità ridotte. E una versione separata che supporta l'ultima generazione di PCIe 6.0 e tutte le velocità ridotte. Questi moduli funzionano come plug-and-play con i controller Synopsys PCIe per adattarsi a configurazioni di clock, larghezze di bus dati e configurazioni di corsia. La crittografia, la decrittografia e l'autenticazione dei pacchetti si basano su crittografia AES-GCM altamente efficiente con latenza molto bassa. I moduli sono pronti per la certificazione FIPS 140-3.
Modulo di sicurezza IDE CXL 2.0
Come con i moduli di sicurezza PCIe IDE, il modulo di sicurezza CXL è conforme agli standard e si integra perfettamente con i controller Synopsys CXL. Sono supportati tutti e tre i protocolli, CXL.io, CXL.cache, CXL.mem, con una latenza fino a 0 cicli per i protocolli .cache/.mem in modalità skid. Questo IP è anche pronto per la certificazione FIPS 140-3.
Modulo di sicurezza IME (Inline Memory Encryption).
Questo modulo di sicurezza utilizza l'algoritmo AES-XTS con due set di chiavi a 128 o 256 bit, uno per la crittografia/decrittografia dei dati e un altro per il calcolo del valore di tweak ed è pronto per la certificazione FIPS 140-3. Il sottosistema di crittografia della memoria gestisce la crittografia, la decrittografia e la gestione di modifiche e chiavi con una latenza molto bassa. Altre caratteristiche chiave includono il supporto full duplex per i canali di lettura/scrittura, controllo e aggiornamento delle chiavi efficienti e protetti e una modalità bypass.
Modulo Hardware Secure con Root of Trust
Questo modulo di sicurezza fornisce un Trusted Execution Environment (TEE) per gestire dati e operazioni sensibili. È la base per una gestione sicura del ciclo di vita in remoto e per l'implementazione dei servizi. Le principali funzionalità di sicurezza includono un avvio sicuro, autenticazione/debug sicuri e gestione delle chiavi. Sono incluse istruzioni sicure e controller di dati per fornire protezione dall'accesso alla memoria esterna e rilevamento di manomissioni in fase di esecuzione. Sono disponibili opzioni di crittografia scalabile per accelerare la crittografia, l'autenticazione e le operazioni a chiave pubblica.
Sommario
Un'infrastruttura sicura è fondamentale per proteggere i dati. L'autenticazione e la gestione delle chiavi nel piano di controllo e l'integrità e la crittografia dei dati nel piano dei dati sono componenti essenziali di una soluzione di sicurezza completa. La protezione delle interfacce ad alta velocità deve essere altamente efficiente con una latenza ottimale. Synopsys fornisce soluzioni complete per proteggere i SoC, i loro dati e le comunicazioni.
Per ulteriori informazioni, visitare Synopsys Moduli di sicurezza per interfacce standard
Leggi anche:
IA più grande, più veloce e migliore: le NPU Synopsys
Il percorso verso l'automazione del design analogico
Design to Layout Collaborazione Segnale misto
Condividi questo post tramite:
