اگر سوالی دارید یا می خواهید با ما، تیم TEP در تماس باشید، می توانید این کار را در اینجا انجام دهید.
پلتفرم Intel® Trusted Edge با قادر ساختن به توسعه دهندگان برای ایجاد محیط لبه مورد اعتماد سفارشی خود، با استفاده از نرم افزار منبع باز و استانداردهای امنیتی جهانی، می تواند توسعه دهندگان لبه را دوباره کنترل امنیت سیستم هایشان را در دست بگیرد و در عین حال آنها را در جریان اصلی سیستم های مورد اعتماد نگه دارد. فن آوری سیستم و آماده برای تکامل بیشتر پلت فرم های محاسبات لبه.
برای مشتریان فعلی NDA، دسترسی ارزیابی را از اینجا درخواست کنید.
از آنجایی که توابع پلتفرم Intel® Trusted Edge توسط APIها از توابع سخت افزاری زیرین انتزاع می شوند، سیستمی که پس از ساخته شدن در طیف وسیعی از انواع پردازنده های اینتل، از Atom تا نسل های CPU های Core گرفته تا Xeon به درستی عمل می کند و از ویژگی هایی استفاده می کند که هر CPU دارد. پیشنهاد. از آنجایی که پلتفرم Intel® Trusted Edge چارچوبی است که پیکربندیهای قابل اعتماد خاصی را برای طیف گستردهای از پلتفرمها پیشنهاد میکند، توسعهدهندگان میتوانند تقریباً هر نوع محیط مدرنی را با استفاده از هایپروایزرهای نوع 1 یا نوع 2، ظروف فلزی خالی، انتخابهای نرمافزار عملیاتی بسازند. و ترکیبی از برنامه های قابل اعتماد و ناامن.
ساختن یک سیستم قابل اعتماد با برنامه های کاربردی امن
پلتفرم Intel® Trusted Edge از عناصر منبع باز استفاده می کند و برای فضای کوچک طراحی شده است. با این حال، توسعه دهندگان را قادر می سازد تا سیستم هایی با VM ها و کانتینرهای قابل اعتماد، IPC ایمن، رمزگذاری برای داده ها و کد در حافظه و حافظه، و ایزوله قوی بین مناطق تولید کنند. همه این امنیت از ریشه سخت افزاری Trust شروع می شود و امکانات مدیریت کلید و راه اندازی امن اینتل و توانایی گسترش اعتماد از ریشه به بالا از طریق سیستم عامل، هایپروایزر و لایه های کانتینر و به برنامه ها.
با این حال، پلتفرمهای لبه فاقد زیرساخت امنیتی هستند که به راحتی در دسترس توسعهدهندگان ابری است. توسعه دهندگان Edge به حال خود رها شده اند تا کارشناسان امنیتی و همچنین توسعه دهندگان سیستم شوند.
برای ساختن یک سیستم قابل اعتماد با استفاده از پلتفرم Intel® Trusted Edge، توسعه دهندگان یک سری مراحل را دنبال می کنند:
- یک پیکربندی سیستم را انتخاب کنید: کانتینرها، ماشین های مجازی یا ترکیبی.
- نسخه های OS، Hypervisor یا Docker ارائه شده در Intel® Trusted Edge Platform را انتخاب کنید و مراحل پیکربندی داده شده را دنبال کنید.
- از کتابخانههای میکروسرویس امن Intel® Trusted Edge Platform برای ایجاد برنامههای جدید استفاده کنید و توسعهدهندگان را از متخصص شدن در امنیت و جزئیات برنامههای امن رها کنید.
- برنامه های قابل اعتماد را روی ماشین های مجازی قابل اعتماد یا در ظروف امن قرار دهید.
- برنامه های غیر قابل اعتماد را روی ماشین های مجازی معمولی یا در ظروف معمولی قرار دهید.
- برنامههای مورد اعتماد و غیرقابل اعتماد را در صورت لزوم با استفاده از رابطهای استاندارد رمزنگاری کلید عمومی (PKCS) شماره 11 مرتبط کنید.
- با استفاده از API های امن پلتفرم Intel® Trusted Edge، برنامه های مورد اعتماد را به برنامه های خارجی یا سرویس های ابری از طریق یک سرور تأیید از راه دور پیوند دهید.
یک مثال در عمل
این تنها نمونه ای از این است که چگونه توسعه دهندگان بدون تخصص امنیتی خاص می توانند یک محیط لبه قابل اعتماد مبتنی بر عملکردهای امنیتی سخت افزار اینتل و در عین حال قابل حمل در خانواده های CPU اینتل ایجاد کنند. چنین محیطی می تواند خانه ای امن برای کدها و داده های حساس فراهم کند. با این حال، میتواند با سایر برنامههای اصلی و برنامههای دیگر پلتفرمهای لبه یا در فضای ابری همزیستی داشته باشد و به طور ایمن با آنها تعامل داشته باشد.
برای اینکه تا حد ممکن ایمن باشند، پلتفرمهای لبه باید از کد و دادهها در حالت استراحت و در انتقال بین حافظه و حافظه محافظت کنند – اما همچنین در انتقال بین فرآیندها و در حین اجرا. و پلتفرمها باید فضایی امن و با دسترسی کنترل شده را فراهم کنند که وظایف قابل اعتماد در آن ساکن شوند. پلتفرمها باید این کار را در محیطی انجام دهند که شامل وظایف غیرقابل اعتماد و پیوندهایی به دنیای خارج باشد. این یک لیست چالش برانگیز از الزامات برای هر تیم توسعه است که توسط متخصصان امنیتی پشتیبانی نمی شود.
توسعه دهندگان می توانند این سیستم را با استفاده از پلتفرم Intel® Trusted Edge همانطور که در مراحل بالا توضیح داده شد، بسازند. سپس در زمان راهاندازی، فرآیند راهاندازی امن اینتل زنجیره اعتماد را از ریشه سختافزاری اعتماد و ماژول پلتفرم مورد اعتماد (TPM) از طریق یک نمونه Hypervisor و به یک VM قابل اعتماد گسترش میدهد. در این ماشین مجازی، مقداردهی اولیه یک نمونه سیستمعامل قابل اعتماد و یک کتابخانه از میکروسرویسهای امنیتی Intel® Trusted Edge Platform و سپس سرور مدل Intel® OpenVINO – برای گنجاندن و اجرای مدل یادگیری عمیق مجوزدار – و ماژول امنیتی Intel® OpenVINO – نمونهسازی میکند. مجوز را تأیید کنید و مدل را رمزگشایی کنید. سپس سیستم هر ماشین مجازی مهمان را که نیاز داشت، از جمله یکی برای برنامه هوش مصنوعی، مقداردهی اولیه کرد.
بیایید به یک سیستم لبه قابل اعتماد در حال استفاده نگاه کنیم. یکی از موارد مهم که ممکن است یک سیستم لبه ایمن لازم باشد، هوش مصنوعی لبه است. نه تنها میخواهید از عملکرد الگوریتم هوش مصنوعی در برابر دستکاریهای خارجی محافظت کنید، بلکه اگر مدل از شخص ثالث مجوز گرفته باشد، ممکن است از شما خواسته شود که از مدل در برابر کپی کردن در طول اجرا و در حالت استراحت محافظت کنید. برای دستیابی به این سطح از امنیت، بهتر است مدل را در یک محیط قابل اعتماد که توسط یک حافظه رمزگذاری شده پشتیبانی می شود، نگهداری کنید. IPC امن را می توان برای انتقال داده های ورودی به مدل و انتقال داده های استنتاج به برنامه استفاده کرد.
نویسندگان: Basant Kumar، مدیر ارشد محصول و Dmitry Kukushkin، مدیر بازاریابی محصول، و Srinivas Musti، مهندس اصلی
قابلیتهای سختافزاری زیربنایی لازم برای این سطح از امنیت، امروزه در فناوریهای اینتل برای راهاندازی امن، نصب امن دستگاه، شتاب رمزنگاری و مجازیسازی ایمن و غیره وجود دارد. استانداردهایی برای ارتباطات بین فرآیندی ایمن (IPC) وجود دارد. و نسخههای سیستمعامل منبع باز، هایپروایزرها و مدیریتهای کانتینر وجود دارد که میتوان آنها را پیکربندی کرد، اگر بدانید چگونه، به شیوهای ایمن کار کنند. اما توسعهدهندگان پلتفرم و برنامههای کاربردی پیشرفته بودهاند که این قطعات را در یک سیستم امن که انعطافپذیر، مقیاسپذیر و قابل حمل است، در کنار هم قرار دهند.
پلتفرم Intel® Trusted Edge
در زمان اجرا، زمانی که برنامه نیاز به اجرای مدل دارد، درخواست و داده های ورودی لازم را از طریق IPC امن ارائه شده توسط پلتفرم Intel® Trusted Edge به سرور مدل Intel® OpenVINO ارسال می کند. سپس این ماژول ماژول امنیتی Intel® OpenVINO را فراخوانی میکند که مجوز مدل را با یک سرور مجوز خارجی تأیید میکند، مدل را رمزگشایی میکند و آن را به سرور مدل تحویل میدهد. سپس سرور مدل مدل را اجرا می کند و داده های استنتاج را از طریق زنجیره IPC ایمن به برنامه برمی گرداند.
در طیف گسترده ای از کاربردها، از اتوماسیون صنعتی و تجاری گرفته تا شهرهای هوشمند، خرده فروشی هوشمند و حتی برنامه های نظامی، محاسبات لبه در حال تبدیل شدن به یک عنصر کلیدی معماری سیستم است. اما پلتفرمهای محاسباتی لبهای با اتصال نزدیک بین اینترنت اشیا و بارهای کاری حیاتی ابری، اهداف ایدهآلی برای حملات سایبری هستند. به عنوان مثال، حمله به یک پلتفرم لبه میتواند شبکه اینترنت اشیاء را که به یک مرکز تولید برق خدمت میکند، مختل کند. این می تواند نمایشگرها و پایانه های تراکنش را در یک محیط خرده فروشی بزرگ خراب کند. این می تواند راه خود را از طریق شبکه رد کند و امنیت بار کاری ابری یک شرکت و داده های آنها را به خطر بیندازد.
فراتر از محافظت از مدلهای حساس هوش مصنوعی، این محیطهای قابل اعتماد برای برنامههای در حال اجرا در سیستمهای صنعتی اینترنت اشیا حیاتی هستند. در چنین برنامههایی، دستگاههای اینترنت اشیا و سیستمافزار آنها ممکن است از منابع مختلف، قابل اعتماد یا غیرقابل اعتماد باشند. با این حال، داده ها باید از این دستگاه ها استخراج شوند، شاید با استفاده از ترکیبی از برنامه های قابل اعتماد و نامعتبر پردازش شوند و نتایج در یک پایگاه داده ایمن ذخیره شوند. نیازی به گفتن نیست که با افزایش تهدید حملات سایبری علیه زیرساخت ها و اهداف سازمانی، حیاتی است که کل سیستم بر روی یک پلت فرم امن قرار گیرد.
این خیلی سوال است. برای اینکه این کار واقع بینانه باشد، اینتل پلتفرم Intel® Trusted Edge را ایجاد کرده است. پلتفرم Intel® Trusted Edge به خودی خود یک فناوری سخت افزاری، یک بسته نرم افزاری، یک سیستم محاسباتی با لبه کوچک یا یک رویکرد جدید برای امنیت نیست. در عوض، این چارچوبی است که عناصر آماده پیکربندی و استفاده را فراهم می کند که با هم یک محیط لبه قابل اعتماد را تشکیل می دهند. پلتفرم Intel® Trusted Edge شامل بسیاری از عناصر، تنظیمات بایوس و سفتافزار برای فعال کردن ویژگیهای امنیتی سختافزار است. پیکربندی برای سیستم عامل های منبع باز قابل اعتماد، هایپروایزر و مدیران کانتینر؛ APIهایی که توابع امنیتی سخت افزار را مجازی می کنند تا ویژگی هایی را که CPU از کدام عملکردها پشتیبانی می کند حذف کنند. کتابخانههای میکروسرویسهای ایمن – روالهای نسبتاً کوچک، مانند تأیید از راه دور یا رمزگذاری دیسک، که بلوکهای سازنده عملیات امنیتی پیچیدهتر هستند – و IPC API. راه حل های مرجع؛ نمونه کد؛ و مستندات