Alors que de plus en plus d’entreprises recherchent un chiffrement de bout en bout pour sécuriser leurs données et leurs opérations et pour répondre aux exigences de conformité, elles travaillent contre une faille de sécurité géante: les moments où les données sont utilisées. C’est l’un des gros problèmes des entreprises qui déplacent des charges de travail dans des environnements cloud.
«Ils s’arrêtent souvent avant de déplacer des charges de travail plus sensibles en raison de problèmes de sécurité», Dan McNamara, vice-président senior et directeur général, Server Business Unit, AMD, m’a dit dans une déclaration la semaine dernière.
Il existe de nombreuses technologies efficaces pour sécuriser les données pendant leur transit et pour sécuriser les données pendant leur stockage. Mais pour que les applications puissent faire quelque chose avec les données, elles doivent d’abord les déchiffrer afin de pouvoir les voir, créant une fenêtre d’opportunité potentielle pour les pirates.
Ce problème a été résolu sur les iPhones depuis qu’Apple a introduit «l’enclave sécurisée» en 2013. Les fournisseurs d’Android ont commencé à faire de même récemment.
Pour les centres de données, Intel SGX a été le seul jeu en ville au cours des deux dernières années – mais la technologie avait de graves limites. Cette fonctionnalité n’est disponible que sur les postes de travail, et non sur les serveurs de niveau entreprise, avec un maximum de 92 mégaoctets de mémoire dans son enclave sécurisée, a déclaré Nelly Porter, chef de produit senior chez Google Cloud. Cela rend difficile l’utilisation de la plate-forme pour exécuter des applications, a-t-elle déclaré à DCK.
«Vous devez refactoriser votre application existante en deux applications», dit-elle. « L’un, le plus sûr, court dans l’enclave. Et l’autre court partout ailleurs. »
À partir de 18 mois, Google a essayé de faciliter le processus pour ses clients, a-t-elle ajouté. «Nous avons mis au point un SDK pour les clients et les développeurs, mais nous avons réalisé que ce n’était pas facile à utiliser, surtout si vous n’aviez pas le code source ou si vous aviez de nombreuses dépendances. En raison de la complexité, nous avons décidé de ne pas poursuivre dans cette voie comme une solution pour notre clientèle élargie. «
De plus, en raison de la limitation de la mémoire, les applications peuvent devoir travailler sur de petits ensembles de données à la fois, a-t-elle déclaré. « Vous faites des va-et-vient, des va-et-vient, et la performance devient insupportable. »
Google avait besoin d’une plate-forme offrant des performances élevées, une faible latence et une capacité d’évolution. «En tant que fournisseur de solutions de centre de données, nous ne pouvons pas fonctionner sur des postes de travail», a déclaré Porter. « Nous devons fonctionner sur de gros serveurs. »
Intel va finalement sortir une technologie qui résout ces problèmes – mais AMD les a battus.
le AMD 2e génération Epyc La puce résout les problèmes de performances, de latence et d’évolutivité, a-t-elle déclaré. Et comme la mémoire n’est plus un problème, les clients peuvent exécuter leurs applications existantes sans trop de tracas.
Alors que l’Intel SGX atteint 92 mégaoctets, les puces AMD n’ont aucune limite pratique. Chez Google, cela signifie jusqu’à 896 gigaoctets sur la plus grande machine virtuelle de Google Cloud.
« C’est juste une case à cocher maintenant », a déclaré Porter. « Vous n’êtes pas obligé de tout refactoriser. Il fonctionne simplement. »
Il y a un problème de performance, puisque les données doivent encore être déchiffrées et chiffrées à nouveau à l’intérieur de l’enclave sécurisée, mais elles se situent généralement entre 2 et 6%, a-t-elle déclaré. «Nous travaillons toujours à valider les performances, mais nous n’avons vu personne avec plus de 10% de dégradation des performances.»
Les enclaves sécurisées sont également plus chères, environ 26% de plus. Mais comme les machines AMD sont remises de 13% par rapport aux machines Intel équivalentes, les clients ne voient qu’une augmentation d’environ 13%.
En plus de fournir un cryptage pendant que les applications travaillent sur des données, afin que les pirates qui écoutent ce que font les applications ne puissent rien voir, la nouvelle infrastructure fournit également d’autres fonctionnalités de sécurité.
Si l’alimentation est coupée, par exemple, et que des pirates – ou des initiés malveillants – ont accès au matériel physique, les données sont toujours sous forme cryptée. Et le firmware sur les serveurs ne peut pas être falsifié.
« Ce ne sont donc pas seulement les attaques logicielles qui sont atténuées, mais aussi les attaques d’accès physique », a déclaré Porter. Même Google lui-même ne peut pas jeter un œil à l’intérieur des machines et regarder les données. « Moins nous en voyons, mieux c’est pour tout le monde. »
Elle a déclaré que Google avait été le premier à proposer le chiffrement d’exécution pour les clients du cloud, mais elle s’attend à ce que d’autres fournisseurs de cloud et de centres de données offrent des services similaires. « Nous sommes les premiers, mais je suis sûr que nous ne serons pas les seuls très longtemps. »
Ceux qui ont des exigences similaires à celles de Google, telles que la capacité d’exécuter des applications existantes à grande échelle, iront probablement avec AMD Epyc, mais il existe également des cas d’utilisation de niche pour Intel SGX, a-t-elle déclaré.
«Par exemple, lorsque vous parlez d’une autorité de certification, elle doit signer votre demande», dit-elle. « Cette opération de signature peut être isolée de l’enclave Intel SGX. »
Les solutions de gestion de clés ou d’autres applications plus petites et à usage unique peuvent également bien fonctionner dans l’environnement Intel SGX.
Equinix, par exemple, lancé une solution de gestion de clés il y a deux ans sur la plate-forme Intel SGX, utilisant la technologie de Fortanix, comme a fait Interxion.
«Mais si vous souhaitez déplacer des applications – car changer les applications existantes est très pénible pour les clients – et que vous souhaitez optimiser la convivialité, les performances et l’évolutivité, je pense que vous arriverez à la même conclusion que nous: AMD est une meilleure solution », a déclaré Porter.
« Au fil du temps, je suis sûr que de plus en plus de choix s’ouvriront, et pas seulement sur les processeurs, mais aussi sur les GPU. Un cercle croissant de matériel doit respecter la confidentialité et la confidentialité des données. »
VM confidentielles de Google est devenu disponible aux entreprises clientes la semaine dernière, en version bêta, mais sera éventuellement utilisé pour les propres services de Google, tels que G Suite. Aucun calendrier n’a encore été annoncé pour ce déploiement.
Alors que Google est le premier à proposer un produit de chiffrement d’exécution utilisant la plate-forme AMD Epyc 2, la puce a gagné en popularité dans l’espace du centre de données pour ses hautes performances.
IBM Cloud, Amazon Web Services et Microsoft Azure offrent tous la technologie, et les entreprises l’adoptent également, AMD CFO Devinder Kumar m’a dit dans une présentation récente.
En 2018, la part de marché des serveurs d’AMD n’était que de 1%. Cet été, AMD est en passe d’atteindre 10% de part de marché, a déclaré Kumar.