Intel® Software Guard Extensions'ı (Intel® SGX) Anlamak

Günümüzde güvenlik çözümleri veri saklanırken ve ağ üzerinden gönderildiğinde şifreleme sağlarlar ancak veri bellekte aktif biçimde işlenirken hala hassas olabilir. Genel Açıklar ve Riskler (CVE) veritabanı1, örneğin şu anda potansiyel olarak 11.000 kullanılabilir güvenlik açığını içerir ve bunların %34'ü için halen hafifletme tedbiri bulunmaz. Intel® SGX bir sistemin işletim sistemini (OS) ve sanal makine (VM) yazılım katmalarını baypas ederek, bu türdeki saldırıların çoğuna karşı önemli ek koruma sağlar, veri güvenliği ekler ve daha gizli bilgi işlem ihtiyacını karşılar. Uygulamanızı ve verilerini çalıştırmak için korumalı bellek alanları sunarak belleğe nasıl erişildiğine dair değişikliklere yönelik şifrelemeyi kullanan donanım tabanlı bir güvenlik çözümü sağlar. Ayrıca, Intel® SGX çalıştırdığı uygulamanın ve donanımın doğrulamasını yapmanıza izin verir.

Bir Yan Kanal Saldırısı Nedir ve Endişelenmeli Miyim?

Yan kanal saldırıları; doğrudan işlemciden alınan güç durumları, emisyonlar ve bekleme süreleri gibi bilgiyi dolaylı olarak veri kullanım örüntülerini çıkarsama eylemlerine dayalıdır. Bu saldırıların yürütülmesi şirket veri merkezine fiziksel, ağ ve sistem olmak üzere çok sayıda düzeyde yetkisiz erişim gerektirebilir. Bu sebeple bu saldırılar oldukça karmaşık ve zordur.

Korsanlar tipik olarak en az direnç olan yolu izlerler. Günümüzde bu, çoğunlukla yazılıma saldırı anlamına gelir. Intel® SGX özellikle yan kanal saldırılarına karşı korumak için tasarlanmamış olmasına rağmen, saldırganlar için çıtayı önemli ölçüde yükselten kod ve veri için bir izolasyon şekli sunar. Intel potansiyel yan kanal risklerini tespit etmek ve onları hafifletmek için müşterilerimiz ve araştırma topluluğuyla titizlikle çalışmaya devam ediyor. Yan kanal açıklarının varlığına rağmen, Intel® SGX değerli bir araçtır, çünkü güçlü bir ek koruma katmanı sunar.

Intel® SGX'e Güvenmeli Miyim?

Intel® SGX sistemdeki mevcut en küçük saldırı yüzeyi ile en fazla test edilen, araştırılan ve kurulan donanım tabanlı veri merkezi güvenilir yürütme ortamıdır (TEE). Sıkı veri gizliliği ve güvenlik gereksinimleriniz varsa, Intel® SGX açık bir stratejik avantaja sahiptir.

Ve Intel® SGX tarafından korunan müşteriler için iyi haber, daha yaygın olarak görülen yazılım tabanlı saldırı çeşitlerine karşı savunmaya yardımcı olmaya ek olarak, Intel SGX'in onay mekanizmaları uygulamanızın tehlikeye girmediğine ve üzerinde çalıştığı işlemcinin en son güvenlik güncellemelerine sahip olduğuna dair doğrulama talep etmenizi de sağlar.

Intel® SGX pek çoğu halen başka şekillerde hafifletilemeyen binlerce 2 bilinen veya bilinmeyen tehdide karşı korur. Intel® SGX ile kodunuz ve veriniz, onun olmadığı duruma kıyasla önemli ölçüde korunmuş kalır.

Şifrelenmiş Verinin Ötesine Geçmek: Şifrelenmiş Bilgi İşlem

Intel SGX'in saldırı yüzeyini azaltarak nasıl başka bir savunma katmanı daha eklediğini görün.

İnfografiği indirin

Bildirimler ve Yasal Uyarılar3

SSS

Sık Sorulan Sorular

Intel® SGX saldırı yüzeyini azaltmaya yardımcı olarak başka bir savunma katmanı daha ekler. Intel® SGX bu veri işlenirken, kod ve veriyi kötü amaçlı yazılımdan ve ayrıcalıklı yükseltmelerden kaynaklanan saldırıya karşı korur. Geliştiriciler doğrudan işlemci/bellek etki alanında güvenilir yürütme ortamları (TEE'ler) oluşturabilirler.

Yan kanal saldırıları, veri aktivitesini ve değerlerini çıkarmaya çalışırken güç durumları, emisyonlar ve bekleme süreleri gibi işlemciden harici bilgi almak için tasarlanmıştır.4

Korsanlar tipik olarak en az direnç olan yolu izlerler. Günümüzde bu, çoğunlukla yazılıma saldırı anlamına gelir. Intel® SGX özellikle yan kanal saldırılarına karşı korumak için tasarlanmamış olmasına rağmen, saldırganlar için çıtayı yükselten kod ve veri için bir izolasyon şekli sunar.

Intel® SGX güvenlik açıklarını nasıl ele alır:

  • İşbirliği: Confidential Computing Consortium kapsamındaki kurucu rolümüz dahil olmak üzere araştırmacılar ve iş ortakları ile devam eden işbirliği, güvenlik açıklarını belirlememize ve hafifletmemize yardımcı olur.
  • Güçlendirilmiş güvenlik: Intel® SGX saldırılara karşı sürekli güçlü olmak üzere düzenli olarak güncellenmek için tasarlanmıştır.
  • Doğrulama: Intel® SGX uygulamaların düzeltme eki uygulanmış ve tehlikeye girmemiş sistemlerde çalıştıklarına dair doğrulama istemelerine olanak sağlar.

Ürün ve Performans Bilgileri

2Intel SGX çoğu işletim sistemi katmanı tehdidine karşı savunmasız değildir ve bugün veritabanında 140.000'i aşkın tehdit bulunur. https://cve.mitre.org.
4Ağustos 2020 itibarıyla, yüzlerce araştırma raporu Intel® SGX'e atıfta bulunmuştur.