Создать облачный сервер с поддержкой Intel® SGX

Создать облачный сервер с поддержкой Intel® SGX

Intel® SGX (Software Guard Extensions) — технология, которая предоставляет набор инструкций центрального процессора для повышения безопасности кода и данных приложения с помощью дополнительной защиты от утечек или модификации.

С Intel® SGX приложение может создавать в оперативной памяти анклавы — информация в них не сможет быть прочитана другими приложениями (ненадежными компонентами), запущенными на том же сервере, включая системные приложения, модули ядра и гипервизор.

Для использования Intel® SGX можно создать облачный сервер фиксированной конфигурации линейки SGX Line. Посмотреть доступность линейки в регионах можно в матрице доступности Облачные серверы.

Создать облачный сервер с поддержкой Intel® SGX⁠

Используйте инструкцию Создать облачный сервер.

Выберите:

• источник — готовый образ Ubuntu 22.04 LTS. Образ содержит драйверы, необходимые для работы с SGX. Если выберете другой источник, драйверы нужно будет установить самостоятельно;
• фиксированную конфигурацию линейки SGX Line.

Для поддержки Intel® SGX и работы с анклавами подготовьте облачный сервер к работе после создания: установите драйвер и подготовьте приложение для работы с SGX.

Установить драйвер⁠

к сведению

Если в качестве источника при создании сервера вы выбрали образ Ubuntu 22.04 или Windows 2019, драйверы для работы SGX устанавливать не нужно.

Для поддержки Intel® SGX и работы с анклавами нужно, чтобы был установлен один из трех драйверов:

• In-kernel Driver — подходит только для Linux, входит в версии ядра Linux от 5.11 и выше;
• DCAP Driver — подходит для Windows и для версий ядра Linux без in-kernel драйвера;
• Out-of-tree Driver — альтернативный способ. Вместо этого типа драйверов мы рекомендуем использовать In-kernel драйверы, для этого вы можете перейти на HWE-ядро. Пример команды для Ubuntu 20.04: apt-get install --install-recommends linux-generic-hwe-20.04

Пакеты с драйверами для различных операционных систем можно посмотреть в репозитории Intel®.

Подготовить приложение для работы с SGX⁠

Для работы с анклавами и Intel® SGX вы можете использовать:

• LibOS (library operating system) — позволяет не менять кодовую базу и с небольшими модификациями запустить Intel® SGX в существующем приложении;
• или SDK — для разработки нового приложения. Все пакеты с SDK собраны для разных операционных систем, и их нужно только установить.

LibOS⁠

Доступны версии с открытым исходным кодом и коммерческие версии LibOS для поддержки Intel® SGX.

С открытым исходным кодом:

• Gramine;
• Occlum;
• Intel SGX and Linux Kernel Library (LKL) GitHub;
• Mystikos.

Коммерческие:

• Fortanix;
• Anjuna;
• Decentriq;
• SCONE.

SDK⁠

Все SDK содержат API, библиотеки, примеры исходного кода, инструменты и документацию для быстрого старта:

• Intel SGX SDK for Linux;
• Intel SGX SDK for Windows;
• Fortanix Enclave Development Platform;
• Open Enclave SDK;
• Teaclave / Teaclave SGX SDK;
• MesaTEE;
• Edgeless Systems EGo;
• Edgeless RT;
• Enarx.