Los centros de datos perimetrales necesitan tecnologías de servidor integradas

Las tecnologías de servidor perimetral están diseñadas para aplicaciones en tiempo real con uso intensivo de ancho de banda que nunca serían posibles con servicios de nube central.

Allanan el camino para proporcionar a los vehículos autónomos información importante sobre la infraestructura en tiempo real, ya sea por ferrocarril o por carretera. Las infraestructuras que sirven a las industrias del petróleo, el gas y el agua, así como las redes de distribución de electricidad, también pueden volverse más inteligentes si se proporciona la inteligencia necesaria a nivel local.

Otro gran campo de aplicación para servidores en red local son los proyectos de Industria 4.0 que implementan análisis de borde y donde los sistemas colaborativos copian gemelos digitales para garantizar que puedan usar el modelo del gemelo para continuar con los cálculos incluso si la red falla. También es fácil comprender por qué las redes de comunicaciones de mayor rendimiento necesitan más potencia de cálculo local en los bordes si se quiere que los anchos de banda aumenten mientras que los tiempos de respuesta se acortan. Esto afecta no solo a las estaciones base y los nodos de la red, sino también a los sistemas directamente detrás de ellos.

Las empresas y los usuarios comparten la potencia de las aplicaciones de colocación de baja latencia, es decir, para los centros de datos que se 'subcontratan' a la red para habilitar aplicaciones táctiles de Internet. De hecho, estos dos segmentos representan la mayor participación (54%) del mercado de centros de datos de borde, que se espera que crezca a una CAGR altamente dinámica del 23% en los próximos años, según Global Market Insights.

Condiciones ambientales

Lograr este crecimiento a menudo requerirá servidores significativamente diferentes. la tecnología que las clásicas granjas de servidores de TI. Esto se debe a que la creciente descentralización significa que servidores perimetrales cada vez más pequeños operarán en entornos cada vez más hostiles. Esto, a su vez, requiere sistemas mucho más robustos.

Los procesadores deben ser montables en BGA para garantizar una mayor resistencia a golpes y vibraciones. Idealmente, también deberían ofrecer una alta protección EMI contra la interferencia electromagnética para proporcionar una alta confiabilidad operativa en entornos industriales. El rango de temperatura admitido también debe ser adecuado para uso industrial y, dependiendo de la aplicación, no solo debe extenderse de 0 a + 60 ° C, sino que también debe tolerar temperaturas significativamente más altas y más frías que van desde el ártico -40 ° C hasta el tipo sauna +85 ° C, que se puede alcanzar rápidamente con la luz solar directa. Dependiendo de la aplicación, los sistemas también deberían poder hacer frente a caídas rápidas de temperatura para permitir abrirlos ocasionalmente para el servicio, incluso si hace frío afuera.

Las fluctuaciones máximas de temperatura propuestas por ASHRAE en sus directrices para centros de datos de borde, es decir, 20 ° C en una hora o 5 ° C como máximo en 15 minutos, son claramente inadecuadas y no se pueden cumplir, especialmente cuando los centros de datos de borde son más pequeños. que una cabina telefónica. Debe ser posible abrir dichos sistemas para el mantenimiento necesario a cualquier temperatura ambiente. Ni siquiera existe la opción de entrar rápidamente y volver a cerrar la puerta para realizar trabajos de mantenimiento en una sala de servidores de borde cerrado.

Arriba: Secure Encrypted Virtualization, o SEV, utiliza el cifrado AES para cifrar el hipervisor y cada máquina virtual individualmente, aislándolos entre sí

Cuando se trata de soportar ciclos de desarrollo y tiempos de funcionamiento más prolongados, lo que en la industria puede significar fácilmente 10 años o más, la disponibilidad a largo plazo de la tecnología de procesador también juega un papel importante. Además, las necesidades de la industria de soporte de software para abordar de manera óptima los requisitos específicos de los componentes industriales difieren de las TI convencionales.

Esto significa que los gerentes de TI, que buscan desarrollar soluciones de servidor de borde, deben optar por variantes de procesadores de servidor integrados.

La seguridad es fundamental

En esas circunstancias, es mejor utilizar plataformas de servidor integradas resistentes. Sentados entre la nube, la TI de oficina y la tecnología operativa (OT), están expuestos a escenarios típicos de ciberataques de TI y deben cumplir con los requisitos más altos en dos lados: resistencia extrema para soportar tensiones físicas en el borde y requisitos de seguridad más altos para frustrar cualquier piratería. intentos desde Internet. Es más, los servidores de borde y niebla, como sus contrapartes de TI en los centros de datos, ahora a menudo se diseñan como infraestructuras convergentes o hiperconvergentes con una virtualización extensa.

Para evitar que la información del registro de la CPU se filtre a otros componentes de software, como el hipervisor, SEV-ES cifra todo el contenido del registro de la CPU cuando se cierra una máquina virtual.

Por lo tanto, no se trata solo de proteger sistemas individuales, sino plataformas completas, con tecnología de hipervisor y numerosas máquinas virtuales (VM), para crear las condiciones óptimas para las aplicaciones de colocación en el borde, o para consolidar el hardware para una aplicación general. Cuando los dispositivos, las máquinas y los sistemas se digitalizan, los controladores, las puertas de enlace de IoT y las aplicaciones de seguridad, como el firewall y la detección de anomalías, migran a los servidores de borde. El objetivo es alojar también otros dispositivos, máquinas y sistemas en estos servidores con capacidad en tiempo real con miras a consolidar eventualmente la OT de fábricas enteras en dichos servidores.

Cuando se tiene en cuenta la necesidad de monetizar nuevos modelos comerciales, estos servidores de borde también se convierten en vehículos valiosos para suministrar los datos necesarios para facturar las licencias basadas en funciones y los servicios de pago por uso. Esto, por supuesto, requiere niveles particularmente altos de seguridad de los datos. Las tecnologías de servidor integradas de AMD ofrecen una amplia gama de funciones de seguridad de servidor que ya tienen en cuenta estos requisitos en el lado del hardware.

Virtualización basada en hardware

El elemento central y la raíz de la confianza es el procesador seguro AMD integrado. Maneja las funciones de seguridad de los procesadores AMD Embedded EPYC y ofrece numerosas funciones de seguridad cifradas AES de 128 bits. Por lo tanto, la seguridad comienza con la decisión de utilizar un procesador dedicado cuya tarea exclusiva es generar el cifrado. Dado que esto evita que los núcleos físicos de la CPU x86 accedan a las claves de cifrado, ningún software x86 puede supervisar, extraer o modificar las claves.

Arriba: con Secure Memory Encryption (SME), el motor de cifrado del controlador de memoria cifra todo el contenido de la memoria mediante las claves AES-128 proporcionadas por el procesador seguro de AMD.

La virtualización cifrada segura (SEV) está predestinada a separar de forma segura las tareas heterogéneas en estos servidores. Garantiza la protección e integridad de los datos mediante el cifrado AES de cada máquina virtual, aislándola así del hipervisor. A cada máquina virtual se le asigna su propia clave individual, que es proporcionada por el procesador seguro. Estas claves son conocidas solo por este procesador, lo que mantiene los datos seguros incluso si una máquina virtual maliciosa encuentra su camino hacia la memoria de otra máquina virtual, o si el hipervisor está comprometido y se infiltra en una máquina virtual invitada. AMD EPYC Embedded 7001 Series proporciona hasta 15 claves de invitado SEV individuales para este propósito. Los procesadores AMD EPYC Embedded 7002 Series proporcionan hasta 509 claves.

SEV Encrypted State (SEV-ES) mejora aún más la seguridad de los procesadores EPYC Embedded 7002 Series. Al permitir el cifrado de todo el contenido de los registros de la CPU después de cerrar una máquina virtual, se evita la fuga de información de los registros de la CPU a otros componentes de software, como el hipervisor. SEV-ES incluso puede detectar modificaciones maliciosas de los registros de la CPU. Es importante tener en cuenta que, a diferencia de AMD Secure Memory Encryption, las funciones de seguridad AMD SVE y SVE-ES requieren activación en el sistema operativo invitado y el hipervisor. Sin embargo, no es necesario realizar cambios de código ni recopilar las aplicaciones reales. Por lo tanto, siempre que la aplicación del cliente se ejecute en un sistema con SEV habilitado, puede aprovechar al máximo estas características de seguridad.

Otro elemento de seguridad proporcionado por el procesador de seguridad dedicado es el cifrado de memoria seguro (SME) mencionado anteriormente. Ayuda a proteger la integridad de la memoria principal, asegurándola contra ataques de arranque en frío o violaciones similares.

Los atacantes no pueden leer el contenido de la memoria del sistema en texto sin formato, incluso si obtienen acceso físico a los sistemas, lo que es más fácil de lograr en infraestructuras descentralizadas que en centros de datos seguros.

Este motor de cifrado está integrado directamente en el controlador de memoria para garantizar el acceso a la memoria de alta velocidad. Por lo tanto, el procesador seguro es un subsistema del controlador de memoria. Otra ventaja de SME es que no requiere ninguna adaptación de software, ni para el hipervisor ni para el sistema operativo invitado o el software de la aplicación.