SGX Özelliği Nedir?
Uygulama ve çözüm geliştiriciler, yeni donanım tabanlı kontrolleri kullanarak bulut ortamlarında ve kurumsal ortamlarda veri güvenliğinin sorumluluğunu üstlenmek için büyük bir fırsatla karşı karşıyalar. Intel® Software Guard Extensions (Intel® SGX)1 2, belirli uygulama kodlarını ve verileri bellekte izole eden donanım tabanlı bellek şifreleme olanağı sunar. Intel® SGX, daha yüksek öncelik düzeylerinde çalışan süreçlerden korunmak üzere tasarlanan ve güvenli bölge (enclave) olarak adlandırılan özel bellek bölgelerinin tahsisi için kullanıcı düzeyinde kodlamaya olanak tanır. Yalnızca Intel® SGX, bu kadar küçük düzeylerde kontrol ve koruma sağlar.
Yani:
intel tarafından yeni nesil** mikroişlemci aileleri için geliştirilen ve bellek erişimi bağlamında uygulama kodlarının (bkz: ring 3) daha güvenli şekilde çalıştırılabilmesini hedefleyen eklentiler bütünü. mikroişlemci mimarisine eklenen yeni komut seti vasıtasıyla, ilgili user-level process’in sanal adres* alanında enclave adı verilen konteyner hafıza alanlarının tahsis edilebilmesi mümkün kılınmıştır. enclave’lerin özelliği, bu izole adres alanları içerisinde bulunmayan başka herhangi bir kodun -daha yüksek öncelikli bile olsa (bkz: ring 0) -, process’in sanal adres alanı içerisinde muhafaza edilen söz konusu bellek bölgelerine erişememesidir. dolayısıyla, nasıl iki farklı process bellek anlamında birbirinden izole ise, benzer şekilde sgx eklentisi ile aynı process’in sanal adres alanı içerisinde birbirinden izole bellek bölgelerinin de tahsis edilebilmesi sağlanmıştır gibi düşünülebilir. enclave’in kendine özgü; entry table, code, stack ve heap bölümleri bulunmaktadır. haliyle, çalışma zamanında* farklı yönetim mekanizmalarının uygulanmasını da gerektirmektedir.
Intel® Software Guard Extensions’ı (Intel® SGX) Anlamak
Günümüzde güvenlik çözümleri veri saklanırken ve ağ üzerinden gönderildiğinde şifreleme sağlarlar ancak veri bellekte aktif biçimde işlenirken hala hassas olabilir. Genel Açıklar ve Riskler (CVE) veritabanı1, örneğin şu anda potansiyel olarak 11.000 kullanılabilir güvenlik açığını içerir ve bunların %34’ü için halen hafifletme tedbiri bulunmaz. Intel® SGX bir sistemin işletim sistemini (OS) ve sanal makine (VM) yazılım katmalarını baypas ederek, bu türdeki saldırıların çoğuna karşı önemli ek koruma sağlar, veri güvenliği ekler ve daha gizli bilgi işlem ihtiyacını karşılar. Uygulamanızı ve verilerini çalıştırmak için korumalı bellek alanları sunarak belleğe nasıl erişildiğine dair değişikliklere yönelik şifrelemeyi kullanan donanım tabanlı bir güvenlik çözümü sağlar. Ayrıca, Intel® SGX çalıştırdığı uygulamanın ve donanımın doğrulamasını yapmanıza izin verir.
Bir Yan Kanal Saldırısı Nedir ve Endişelenmeli Miyim?
Yan kanal saldırıları; doğrudan işlemciden alınan güç durumları, emisyonlar ve bekleme süreleri gibi bilgiyi dolaylı olarak veri kullanım örüntülerini çıkarsama eylemlerine dayalıdır. Bu saldırıların yürütülmesi şirket veri merkezine fiziksel, ağ ve sistem olmak üzere çok sayıda düzeyde yetkisiz erişim gerektirebilir. Bu sebeple bu saldırılar oldukça karmaşık ve zordur.
Korsanlar tipik olarak en az direnç olan yolu izlerler. Günümüzde bu, çoğunlukla yazılıma saldırı anlamına gelir. Intel® SGX özellikle yan kanal saldırılarına karşı korumak için tasarlanmamış olmasına rağmen, saldırganlar için çıtayı önemli ölçüde yükselten kod ve veri için bir izolasyon şekli sunar. Intel potansiyel yan kanal risklerini tespit etmek ve onları hafifletmek için müşterilerimiz ve araştırma topluluğuyla titizlikle çalışmaya devam ediyor. Yan kanal açıklarının varlığına rağmen, Intel® SGX değerli bir araçtır, çünkü güçlü bir ek koruma katmanı sunar.
Intel® SGX’e Güvenmeli Miyim?
Intel® SGX sistemdeki mevcut en küçük saldırı yüzeyi ile en fazla test edilen, araştırılan ve kurulan donanım tabanlı veri merkezi güvenilir yürütme ortamıdır (TEE). Sıkı veri gizliliği ve güvenlik gereksinimleriniz varsa, Intel® SGX açık bir stratejik avantaja sahiptir.
Ve Intel® SGX tarafından korunan müşteriler için iyi haber, daha yaygın olarak görülen yazılım tabanlı saldırı çeşitlerine karşı savunmaya yardımcı olmaya ek olarak, Intel SGX’in onay mekanizmaları uygulamanızın tehlikeye girmediğine ve üzerinde çalıştığı işlemcinin en son güvenlik güncellemelerine sahip olduğuna dair doğrulama talep etmenizi de sağlar.
Intel® SGX pek çoğu halen başka şekillerde hafifletilemeyen binlerce 2 bilinen veya bilinmeyen tehdide karşı korur. Intel® SGX ile kodunuz ve veriniz, onun olmadığı duruma kıyasla önemli ölçüde korunmuş kalır.