Entendiendo Intel® Software Guard Extensions (Intel® SGX)
Hoy en día, las soluciones de seguridad proporcionan un cifrado cuando los datos están en almacenamiento y cuando se envían a través de la red, pero los datos aún pueden ser vulnerables al estar siendo activamente procesados en la memoria. La base de datos de vulnerabilidades y exposiciones comunes (CVE)1, por ejemplo, contiene actualmente más de 11.000 vulnerabilidades potencialmente explotables, un 34 por ciento aún sin mitigar. Intel SGX, al evitar las capas de software del sistema operativo (SO) y de la máquina virtual (VM), ofrece una protección adicional significativa frente a muchos de estos tipos de ataques, añade seguridad de datos, y aborda la necesidad de una computación más confidencial. Proporciona una solución de seguridad basada en el hardware que utiliza el cifrado para cambiar cómo se accede a la memoria, proporcionando enclaves de memoria protegida para ejecutar sus aplicaciones y datos. Intel SGX también permite buscar la verificación de la aplicación y el hardware que está ejecutando.
¿Qué es un ataque de canal lateral, y debería preocuparme?
Los ataques de canal lateral se basan en el uso de información como estados energéticos, emisiones, y tiempos de espera directamente del procesador para inferir indirectamente patrones de uso de datos. Estos ataques son muy complejos y difíciles de ejecutar, lo que implica potencialmente violaciones del centro de datos de una empresa a múltiples niveles: físicos, de red, y del sistema.
Los hackers suelen seguir el camino de menor resistencia. Hoy en día, eso suele significar ataques al software. Aunque Intel SGX no está diseñado específicamente para proteger contra ataques de canal lateral, proporciona una forma de aislamiento para el código y los datos que aumentan los obstáculos a los atacantes. Intel sigue trabajando con nuestros clientes y con la comunidad de investigación para identificar posibles riesgos de canal lateral y mitigarlos. Pese a la existencia de vulnerabilidades de canal lateral, Intel SGX sigue siendo una herramienta valiosa porque ofrece una potente capa adicional de protección.
¿Por qué debería confiar en Intel SGX?
Intel SGX es el entorno de ejecución de centro de datos de confianza (TEE) basado en hardware más probado, investigado, e implementado, con la superficie de ataque más pequeña disponible. Si tiene requisitos de privacidad y seguridad estrictos, Intel SGX ofrece una ventaja estratégica clara.
Y las buenas noticias para los clientes protegidos por Intel SGX son que, además de ayudar a defenderse de la miríada de ataques basados en software más comunes, los mecanismos de certificación de Intel SGX también permiten solicitar una verificación de que la aplicación no se ha visto comprometida y que el procesador en funcionamiento tiene las actualizaciones de seguridad más recientes.
Intel SGX le protege contra miles2 de amenazas conocidas y desconocidas, muchas de las cuales aún no tienen mitigación. Su código y sus datos siguen estando mucho más protegidos con Intel SGX que sin él.