I data center edge necessitano di tecnologie server integrate

Le tecnologie dei server edge sono progettate per applicazioni in tempo reale a uso intensivo di larghezza di banda che non sarebbero mai possibili con i servizi cloud centrali.

Aprono la strada per fornire ai veicoli autonomi importanti informazioni sull'infrastruttura in tempo reale, sia su rotaia che su strada. Anche le infrastrutture che servono le industrie del petrolio, del gas e dell'acqua, nonché le reti di distribuzione dell'elettricità, possono diventare più intelligenti se le informazioni necessarie vengono fornite a livello locale.

Un altro ampio campo di applicazione per i server in rete locale sono i progetti di Industria 4.0 che implementano l'analisi edge e in cui i sistemi collaborativi copiano i gemelli digitali per garantire che possano utilizzare il modello del gemello per continuare i calcoli anche se la rete si guasta. È anche facile capire perché le reti di comunicazione ad alte prestazioni necessitano di più potenza di elaborazione locale ai margini se le larghezze di banda devono aumentare mentre i tempi di risposta devono essere ridotti. Ciò influisce non solo sulle stazioni base e sui nodi di rete, ma anche sui sistemi direttamente dietro di loro.

L'alimentazione delle applicazioni di colocation a bassa latenza, ovvero per i data center "esternalizzati" alla rete per abilitare le applicazioni Internet tattili, è in ultima analisi condivisa da aziende e utenti. In effetti, questi due segmenti rappresentano la quota maggiore (54%) del mercato dei data center edge, che dovrebbe crescere a un CAGR altamente dinamico del 23% nei prossimi anni, secondo Global Market Insights.

Condizioni ambientali

Il raggiungimento di questa crescita richiederà spesso server significativamente diversi la tecnologia rispetto alle classiche server farm IT. Questo perché la crescente decentralizzazione significa che server periferici sempre più piccoli funzioneranno in ambienti sempre più difficili. Ciò, a sua volta, richiede sistemi significativamente più robusti.

I processori devono essere montabili BGA per garantire una maggiore resistenza agli urti e alle vibrazioni. Idealmente, dovrebbero anche offrire un'elevata protezione EMI dalle interferenze elettromagnetiche per fornire un'elevata affidabilità operativa negli ambienti industriali. L'intervallo di temperatura supportato dovrebbe essere adatto anche per l'uso industriale e, a seconda dell'applicazione, non dovrebbe solo estendersi da 0 a + 60 ° C, ma anche tollerare temperature significativamente più calde e più fredde che vanno da -40 ° C artico a +85 simile a una sauna ° C, che alla luce diretta del sole può essere raggiunta rapidamente. A seconda dell'applicazione, i sistemi dovrebbero anche essere in grado di far fronte a rapidi abbassamenti di temperatura per consentirne l'apertura occasionale per la manutenzione, anche se fuori fa freddo.

Le fluttuazioni massime di temperatura proposte da ASHRAE nelle linee guida dei data center periferici, ovvero 20 ° C entro un'ora o 5 ° C max in 15 minuti, sono chiaramente inadeguate e non possono essere rispettate, soprattutto quando i data center periferici sono più piccoli di una cabina telefonica. Deve essere possibile aprire tali sistemi per la necessaria manutenzione a qualsiasi temperatura circostante. Non c'è nemmeno la possibilità di entrare rapidamente e chiudere di nuovo la porta per eseguire lavori di manutenzione in una sala server chiusa.

Sopra: Secure Encrypted Virtualization, o SEV, utilizza la crittografia AES per crittografare l'hypervisor e ogni macchina virtuale individualmente, isolandole l'una dall'altra

Quando si tratta di supportare cicli di sviluppo e tempi operativi più lunghi, che nell'industria possono facilmente significare 10 anni o più, anche la disponibilità a lungo termine della tecnologia del processore gioca un ruolo importante. Inoltre, le esigenze del settore del supporto software per soddisfare in modo ottimale i requisiti specifici dei componenti industriali differiscono dall'IT tradizionale.

Ciò significa che i responsabili IT, che stanno cercando di sviluppare soluzioni per server periferici, dovrebbero optare per varianti di processori per server embedded.

La sicurezza è essenziale

In tali circostanze, è meglio utilizzare piattaforme server embedded robuste. Situati tra cloud, IT dell'ufficio e tecnologia operativa (OT), sono esposti ai tipici scenari di attacco informatico IT e devono soddisfare i requisiti più elevati su due lati: estrema robustezza per resistere a stress fisici a livello periferico e requisiti di sicurezza più elevati per contrastare qualsiasi hacking tentativi da Internet. Inoltre, i server edge e fog, come le loro controparti IT nei data center, sono ora spesso progettati come infrastrutture convergenti o iperconvergenti con una virtualizzazione estesa.

Per evitare che le informazioni del registro della CPU trapelino ad altri componenti software come l'hypervisor, SEV-ES crittografa tutto il contenuto del registro della CPU quando una VM viene chiusa

Non si tratta quindi solo di mettere in sicurezza singoli sistemi ma intere piattaforme, con tecnologia hypervisor e numerose macchine virtuali (VM), al fine di creare condizioni ottimali per applicazioni di colocation all'edge, o per consolidare l'hardware per un'applicazione complessiva. Quando dispositivi, macchine e sistemi vengono digitalizzati, i controller, i gateway IoT e le applicazioni di sicurezza come il firewall e il rilevamento delle anomalie migrano tutti verso i server perimetrali. L'obiettivo è di ospitare anche altri dispositivi, macchine e sistemi su questi server in grado di funzionare in tempo reale con l'obiettivo di consolidare alla fine l'OT di intere fabbriche su tali server.

Quando si tiene conto della necessità di monetizzare nuovi modelli di business, tali server periferici diventano anche veicoli preziosi per fornire i dati necessari per fatturare i servizi di licenza basati su funzionalità e pay-per-use. Ciò, ovviamente, richiede livelli particolarmente elevati di sicurezza dei dati. Le tecnologie server integrate di AMD offrono un'intera gamma di funzionalità di sicurezza del server che tengono già conto di questi requisiti sul lato hardware.

Virtualizzazione basata su hardware

L'elemento centrale e la radice della fiducia è il processore sicuro AMD integrato. Gestisce le funzioni di sicurezza dei processori AMD Embedded EPYC e offre numerose funzionalità di sicurezza crittografate AES a 128 bit. Quindi la sicurezza inizia con la decisione di utilizzare un processore dedicato il cui compito esclusivo è generare la crittografia. Poiché ciò impedisce ai core fisici della CPU x86 di accedere alle chiavi di crittografia, nessun software x86 può monitorare, estrarre o modificare le chiavi.

Sopra: con Secure Memory Encryption (SME), il motore di crittografia nel controller di memoria crittografa tutto il contenuto della memoria utilizzando le chiavi AES-128 fornite da AMD Secure Processor

Secure Encrypted Virtualization (SEV) è predestinato a separare in modo sicuro le attività eterogenee su questi server. Assicura la protezione e l'integrità dei dati crittografando AES ogni VM, isolandola in tal modo dall'hypervisor. A ciascuna VM viene assegnata la propria chiave individuale, fornita da Secure Processor. Queste chiavi sono note solo a questo processore, mantenendo i dati al sicuro anche se una VM dannosa si insinua nella memoria di un'altra VM, o l'hypervisor è compromesso e si infiltra in una VM guest. La serie AMD EPYC Embedded 7001 fornisce fino a 15 chiavi guest SEV individuali per questo scopo. I processori AMD EPYC Embedded serie 7002 forniscono fino a 509 chiavi.

SEV Encrypted State (SEV-ES) migliora ulteriormente la sicurezza dei processori EPYC Embedded serie 7002. Consentendo la crittografia di tutti i contenuti dei registri della CPU dopo la chiusura di una VM, si previene la fuga di informazioni dai registri della CPU ad altri componenti software, come l'hypervisor. SEV-ES può persino rilevare modifiche dannose dei registri della CPU. È importante notare che, a differenza di AMD Secure Memory Encryption, le funzionalità di sicurezza AMD SVE e SVE-ES richiedono l'attivazione nel sistema operativo guest e nell'hypervisor. Tuttavia, non sono necessarie modifiche al codice o ricompilazione delle applicazioni effettive. Pertanto, a condizione che l'applicazione del cliente venga eseguita su un sistema con SEV abilitato, può sfruttare appieno queste funzionalità di sicurezza.

Un altro elemento di sicurezza fornito dal processore di sicurezza dedicato è il summenzionato Secure Memory Encryption (SME). Aiuta a proteggere l'integrità della memoria principale, proteggendola da attacchi di avvio a freddo o violazioni simili.

Gli aggressori non sono in grado di leggere il contenuto della memoria di sistema in testo normale anche se ottengono l'accesso fisico ai sistemi, il che è più facile da ottenere nelle infrastrutture decentralizzate che nei data center protetti.

Questo motore di crittografia è integrato direttamente nel controller di memoria per garantire un accesso alla memoria ad alta velocità. Quindi Secure Processor è un sottosistema del controller di memoria. Un altro vantaggio di SME è che non richiede adattamenti software, né per l'hypervisor né per il sistema operativo guest o il software applicativo.