Les centres de données Edge ont besoin de technologies de serveur intégrées

Les technologies de serveur Edge sont conçues pour les applications en temps réel gourmandes en bande passante qui ne seraient jamais possibles avec des services cloud centraux.

Ils ouvrent la voie à la fourniture aux véhicules autonomes d'informations importantes sur l'infrastructure en temps réel, que ce soit sur le rail ou sur la route. Les infrastructures desservant les industries du pétrole, du gaz et de l'eau ainsi que les réseaux de distribution d'électricité peuvent également devenir plus intelligents si les renseignements nécessaires sont fournis localement.

Les projets de l'Industrie 4.0 qui implémentent des analyses de périphérie et où les systèmes collaboratifs copient des jumeaux numériques pour s'assurer qu'ils peuvent utiliser le modèle du jumeau pour continuer les calculs même en cas de panne du réseau sont un autre domaine d'application important pour les serveurs en réseau localement. Il est également facile de comprendre pourquoi les réseaux de communication plus performants ont besoin de plus de puissance de calcul locale en périphérie si les bandes passantes doivent augmenter tandis que les temps de réponse doivent être raccourcis. Cela affecte non seulement les stations de base et les nœuds du réseau, mais également les systèmes directement derrière eux.

Les applications de colocation à faible latence - c'est-à-dire pour les centres de données qui sont «externalisés» sur le réseau pour permettre des applications Internet tactiles - sont en fin de compte partagées par les entreprises et les utilisateurs. En fait, ces deux segments représentent la plus grande part (54%) du marché des centres de données périphériques, qui devrait croître à un TCAC très dynamique de 23% au cours des prochaines années, selon Global Market Insights.

Conditions environnementales

Réaliser cette croissance nécessitera souvent des serveurs très différents sans souci que les fermes de serveurs informatiques classiques. En effet, la décentralisation croissante signifie que des serveurs périphériques de plus en plus petits fonctionneront dans des environnements de plus en plus difficiles. Cela nécessite à son tour des systèmes beaucoup plus robustes.

Les processeurs doivent pouvoir être montés BGA pour garantir une meilleure résistance aux chocs et aux vibrations. Idéalement, ils devraient également offrir une protection EMI élevée contre les interférences électromagnétiques pour offrir une fiabilité opérationnelle élevée dans les environnements industriels. La plage de températures prise en charge doit également être adaptée à un usage industriel et, en fonction de l'application, ne doit pas seulement s'étendre de 0 à + 60 ° C, mais également tolérer des températures nettement plus chaudes et plus froides allant de l'arctique -40 ° C à un sauna de +85. ° C, que la lumière directe du soleil peut atteindre rapidement. Selon l'application, les systèmes doivent également être capables de faire face à des baisses de température rapides pour permettre de les ouvrir occasionnellement pour l'entretien, même s'il fait froid dehors.

Les fluctuations de température maximales proposées par l'ASHRAE dans ses directives de centre de données de périphérie - c'est-à-dire 20 ° C en une heure ou 5 ° C max en 15 minutes - sont clairement inadéquates et ne peuvent pas être respectées, en particulier lorsque les centres de données périphériques sont plus petits. qu'une cabine téléphonique. Il doit être possible d'ouvrir de tels systèmes pour l'entretien nécessaire à n'importe quelle température ambiante. Il n'est même pas possible de se glisser rapidement et de refermer la porte pour effectuer des travaux de maintenance dans une salle de serveurs fermée.

Ci-dessus: Secure Encrypted Virtualization, ou SEV, utilise le cryptage AES pour crypter l'hyperviseur et chaque machine virtuelle individuellement, en les isolant les uns des autres

Lorsqu'il s'agit de supporter des cycles de développement et des temps de fonctionnement plus longs, ce qui dans l'industrie peut facilement signifier 10 ans ou plus, la disponibilité à long terme de la technologie des processeurs joue également un rôle. De plus, les besoins de l'industrie du support logiciel pour répondre de manière optimale aux exigences spécifiques des composants industriels diffèrent de l'informatique traditionnelle.

Cela signifie que les responsables informatiques, qui cherchent à développer des solutions de serveur de périphérie, devraient opter pour des variantes de processeur de serveur intégré.

La sécurité est essentielle

Dans ces circonstances, il est préférable d'utiliser des plates-formes de serveurs intégrées robustes. Situés entre le cloud, l'informatique de bureau et la technologie opérationnelle (OT), ils sont exposés à des scénarios de cyber-attaques informatiques typiques et doivent répondre aux exigences les plus élevées des deux côtés: une extrême robustesse pour résister aux contraintes physiques à la périphérie et des exigences de sécurité les plus élevées pour contrecarrer tout piratage. tentatives depuis Internet. De plus, les serveurs de périphérie et de brouillard - comme leurs homologues informatiques dans les centres de données - sont maintenant souvent conçus comme des infrastructures convergées ou hyperconvergées avec une virtualisation étendue.

Pour éviter que les informations du registre du processeur ne fuient vers d'autres composants logiciels tels que l'hyperviseur, SEV-ES crypte tout le contenu du registre du processeur lorsqu'une machine virtuelle est fermée.

Il ne s'agit donc pas seulement de sécuriser des systèmes uniques mais des plates-formes entières, avec une technologie hyperviseur et de nombreuses machines virtuelles (VM), afin de créer des conditions optimales pour des applications de colocation en périphérie, ou de consolider le matériel pour une application globale. Lorsque les appareils, les machines et les systèmes sont numérisés, les contrôleurs, les passerelles IoT et les applications de sécurité telles que le pare-feu et la détection des anomalies migrent tous vers les serveurs de périphérie. L'objectif est d'héberger également d'autres périphériques, machines et systèmes sur ces serveurs capables en temps réel en vue de consolider à terme l'OT d'usines entières sur ces serveurs.

Lorsqu'ils tiennent compte de la nécessité de monétiser de nouveaux modèles commerciaux, ces serveurs de périphérie deviennent également des véhicules précieux pour fournir les données nécessaires à la facturation des licences basées sur les fonctionnalités et des services de paiement à l'utilisation. Cela nécessite bien entendu des niveaux de sécurité des données particulièrement élevés. Les technologies de serveur embarquées d'AMD offrent toute une gamme de fonctionnalités de sécurité serveur qui prennent déjà en compte ces exigences du côté matériel.

Virtualisation basée sur le matériel

L'élément central et la racine de la confiance est le processeur AMD Secure intégré. Il gère les fonctions de sécurité des processeurs AMD Embedded EPYC et offre de nombreuses fonctionnalités de sécurité cryptées AES 128 bits. La sécurité commence donc par la décision d'utiliser un processeur dédié dont la tâche exclusive est de générer le cryptage. Étant donné que cela empêche les cœurs physiques du processeur x86 d'accéder aux clés de chiffrement, aucun logiciel x86 ne peut non plus surveiller, extraire ou modifier les clés.

Ci-dessus: avec Secure Memory Encryption (SME), le moteur de chiffrement du contrôleur de mémoire crypte tout le contenu de la mémoire à l'aide des clés AES-128 fournies par le processeur AMD Secure

La virtualisation cryptée sécurisée (SEV) est prédestinée pour séparer en toute sécurité les tâches hétérogènes sur ces serveurs. Il garantit la protection et l'intégrité des données en cryptant AES chaque VM, l'isolant ainsi de l'hyperviseur. Chaque machine virtuelle se voit attribuer sa propre clé individuelle, qui est fournie par le processeur sécurisé. Ces clés ne sont connues que de ce processeur, ce qui garantit la sécurité des données même si une machine virtuelle malveillante se retrouve dans la mémoire d'une autre machine virtuelle ou si l'hyperviseur est compromis et infiltre une machine virtuelle invitée. La série AMD EPYC Embedded 7001 fournit jusqu'à 15 clés d'invité SEV individuelles à cet effet. Les processeurs AMD EPYC Embedded série 7002 fournissent jusqu'à 509 clés.

SEV Encrypted State (SEV-ES) améliore encore la sécurité des processeurs EPYC Embedded série 7002. Autoriser le chiffrement de tout le contenu du registre du processeur après la fermeture d'une machine virtuelle empêche les fuites d'informations des registres du processeur vers d'autres composants logiciels, tels que l'hyperviseur. SEV-ES peut même détecter les modifications malveillantes des registres du processeur. Il est important de noter que contrairement à AMD Secure Memory Encryption, les fonctionnalités de sécurité AMD SVE et SVE-ES nécessitent une activation dans le système d'exploitation invité et l'hyperviseur. Cependant, les modifications de code ou la recompilation des applications réelles ne sont pas nécessaires. Ainsi, à condition que l'application client s'exécute sur un système sur lequel SEV est activé, elle peut tirer pleinement parti de ces fonctionnalités de sécurité.

Un autre élément de sécurité fourni par le processeur de sécurité dédié est le cryptage sécurisé de la mémoire (SME) mentionné ci-dessus. Il aide à protéger l'intégrité de la mémoire principale, en la sécurisant contre les attaques de démarrage à froid ou des violations similaires.

Les attaquants sont incapables de lire le contenu de la mémoire système en texte brut, même s'ils ont un accès physique aux systèmes - ce qui est plus facile à réaliser dans les infrastructures décentralisées que dans les centres de données sécurisés.

Ce moteur de chiffrement est intégré directement dans le contrôleur de mémoire pour assurer un accès mémoire à haut débit. Par conséquent, le processeur sécurisé est un sous-système du contrôleur de mémoire. Un autre avantage de SME est qu'il ne nécessite aucune adaptation logicielle - ni pour l'hyperviseur ni pour l'OS invité ou le logiciel d'application.