Intel gaat virtuele machines beter beveiligen met TDX

Intel pakt uit met TDX: een nieuwe technologie voor zijn processors waarmee het gevoelige data en code van vooral virtuele machines beter wil beschermen.

Intel spurt AMD achterna met de introductie van architecturale verbeteringen. De chipdesigner introduceert ‘Trust Domain Extensions’, of TDX in het kort. Intel TDX lijkt dezelfde functie te hebben als AMD’s Secure Encryption Virtualization die vandaag al in de nieuwste Epyc-serverchips van de fabrikant zit. Beide technologieën hebben als doel om via de processor gevirtualiseerde workloads te beschermen. In grote lijnen zorgt TDX (net als Secure Encryption Virtualization) voor de versleuteling van VM-data, ook wanneer die in gebruik is.

Versleutelde enclave

Intel TDX moet systemen wapenen tegen zogenaamde side channel-aanvallen. Dergelijke op speculatieve uitvoering gebaseerde aanvallen misbruiken complexe kwetsbaarheden om zo beetje bij beetje data uit de cpu-cache te lezen. Die data versleutelen is complex, aangezien het om gegevens gaat die de cpu actief gebruikt tijdens het rekenwerk. Doorgaans worden gegevens dus ontsleuteld voor ze in de cache terechtkomen en dat maakt side channel-aanvallen zo gevaarlijk.

Met TDX maakt Intel een afgeschermde enclave voor de virtuele machine die ontoegankelijk is voor alle andere software die op een server draait. Zelfs de VM-manager en het host-OS hebben er geen toegang toe. Doordat de data in de enclave versleuteld en dus fundamenteel onleesbaar is zonder decryptiesleutel, wordt de virtuele machine in theorie beschermd voor aanvallen van buitenaf.

Het is hoog tijd dat Intel meer beveiligingsfuncties aan zijn chips toevoegt. De fabrikant verliest klanten aan AMD, dat via zijn veilige cpu’s een markt kan aanboren die traditioneel argwanend staat tegenover cloud computing. Wanneer chips met Intel TDX aan boord precies verschijnen, weten we nog niet. Het lijkt haast onvermijdelijk dat de volgende lading Xeon Scalable-introducties de technologie aan boord zal hebben.