Edge-datacenters hebben ingebouwde servertechnologieën nodig

Edge-servertechnologieën zijn ontworpen voor bandbreedte-intensieve real-time toepassingen die nooit mogelijk zouden zijn met centrale cloudservices.

Ze maken de weg vrij om autonome voertuigen in realtime te voorzien van belangrijke infrastructuurinformatie - zowel op het spoor als op de weg. Infrastructuren die de olie-, gas- en waterindustrie bedienen, evenals elektriciteitsdistributienetwerken, kunnen ook slimmer worden als de nodige informatie lokaal wordt geleverd.

Een ander groot toepassingsgebied voor lokale netwerkservers zijn Industry 4.0-projecten die edge-analyses implementeren en waarbij de samenwerkingssystemen digitale tweelingen kopiëren om ervoor te zorgen dat ze het model van de tweeling kunnen gebruiken om door te gaan met berekeningen, zelfs als het netwerk uitvalt. Het is ook gemakkelijk te begrijpen waarom beter presterende communicatienetwerken meer lokale rekenkracht aan de edge nodig hebben om de bandbreedte te vergroten en de responstijden te verkorten. Dit heeft niet alleen gevolgen voor de basisstations en de netwerkknooppunten, maar ook voor de systemen direct erachter.

Het aandrijven van colocatietoepassingen met lage latentie - dwz voor datacenters die zijn 'uitbesteed' aan het netwerk om tactiele internettoepassingen mogelijk te maken - wordt uiteindelijk gedeeld door bedrijven en gebruikers. In feite zijn deze twee segmenten goed voor het grootste aandeel (54%) van de markt voor edge-datacenters, die volgens Global Market Insights de komende jaren naar verwachting zal groeien met een zeer dynamische CAGR van 23%.

Milieu omstandigheden

Om deze groei te realiseren zijn vaak aanzienlijk andere servers nodig technologie dan klassieke IT-serverfarms. Dit komt omdat de toenemende decentralisatie betekent dat steeds kleinere edge-servers in steeds zwaardere omgevingen zullen werken. Dit vereist op zijn beurt aanzienlijk robuustere systemen.

Processors moeten BGA-monteerbaar zijn om een ​​hogere schok- en trillingsbestendigheid te garanderen. Idealiter zouden ze ook een hoge EMI-bescherming moeten bieden tegen elektromagnetische interferentie om een ​​hoge operationele betrouwbaarheid te bieden in industriële omgevingen. Het ondersteunde temperatuurbereik moet ook geschikt zijn voor industrieel gebruik en moet, afhankelijk van de toepassing, niet alleen van 0 tot +60 °C gaan, maar ook aanzienlijk hogere en koudere temperaturen verdragen, variërend van arctische -40 °C tot sauna-achtige +85 °C, die in direct zonlicht snel kan worden bereikt. Afhankelijk van de toepassing moeten systemen ook bestand zijn tegen snelle temperatuurdalingen, zodat ze af en toe kunnen worden geopend voor onderhoud, zelfs als het buiten koud is.

De maximale temperatuurschommelingen voorgesteld door de ASHRAE in de richtlijnen voor edge-datacenters – dwz 20°C binnen een uur of 5°C max in 15 minuten – zijn duidelijk ontoereikend en kunnen niet worden nageleefd, vooral wanneer de edge-datacenters kleiner zijn dan een telefooncel. Dergelijke systemen moeten bij elke omgevingstemperatuur geopend kunnen worden voor noodzakelijk onderhoud. Er is niet eens de mogelijkheid om snel naar binnen te glippen en de deur weer dicht te doen voor het uitvoeren van onderhoudswerkzaamheden in een gesloten serverruimte.

Boven: Secure Encrypted Virtualization, of SEV, gebruikt AES-codering om de hypervisor en elke virtuele machine afzonderlijk te coderen en ze van elkaar te isoleren

Als het erom gaat langere ontwikkelingscycli en bedrijfstijden te ondersteunen, wat in de industrie gemakkelijk 10 jaar of meer kan betekenen, speelt ook de beschikbaarheid op lange termijn van processortechnologie een rol. Bovendien verschillen de behoeften van de software-ondersteuningsindustrie om optimaal tegemoet te komen aan de specifieke eisen van industriële componenten, van de reguliere IT.

Dit betekent dat IT-managers die edge-serveroplossingen willen ontwikkelen, moeten kiezen voor embedded serverprocessorvarianten.

Beveiliging is essentieel

Onder die omstandigheden kunt u het beste robuuste embedded serverplatforms gebruiken. Zittend tussen cloud, kantoor-IT en operationele technologie (OT), worden ze blootgesteld aan typische IT-cyberaanvalscenario's en moeten ze aan twee kanten aan de hoogste eisen voldoen: extreme robuustheid om fysieke spanningen aan de rand te weerstaan, en de hoogste beveiligingsvereisten om hacking te dwarsbomen pogingen van internet. Bovendien zijn edge- en fogservers – net als hun IT-tegenhangers in datacenters – nu vaak ontworpen als geconvergeerde of hypergeconvergeerde infrastructuren met verregaande virtualisatie.

Om te voorkomen dat CPU-registerinformatie lekt naar andere softwarecomponenten, zoals de hypervisor, versleutelt SEV-ES alle CPU-registerinhoud wanneer een VM wordt gesloten

Het gaat dus niet alleen om het beveiligen van afzonderlijke systemen, maar om volledige platforms, met hypervisortechnologie en talrijke virtuele machines (VM's), om optimale voorwaarden te creëren voor colocatietoepassingen aan de edge of om de hardware voor een algehele toepassing te consolideren. Wanneer apparaten, machines en systemen worden gedigitaliseerd, migreren de controllers, IoT-gateways en beveiligingstoepassingen zoals firewall en anomaliedetectie allemaal naar de edge-servers. Het doel is om ook andere apparaten, machines en systemen op deze real-time servers te hosten met het oog op het uiteindelijk consolideren van de OT van hele fabrieken op dergelijke servers.

Wanneer rekening wordt gehouden met de noodzaak om nieuwe bedrijfsmodellen te gelde te maken, worden dergelijke edge-servers ook waardevolle voertuigen om de vereiste gegevens te leveren om te factureren voor op functies gebaseerde licenties en pay-per-use-services. Dit vereist natuurlijk een bijzonder hoog niveau van gegevensbeveiliging. Embedded servertechnologieën van AMD bieden een hele reeks serverbeveiligingsfuncties die al rekening houden met deze vereisten aan de hardwarekant.

Op hardware gebaseerde virtualisatie

Het centrale element en de basis van vertrouwen is de geïntegreerde AMD Secure Processor. Het verwerkt de beveiligingsfuncties van de AMD Embedded EPYC-processors en biedt tal van 128-bits AES-gecodeerde beveiligingsfuncties. Daarom begint beveiliging met de beslissing om een ​​speciale processor te gebruiken wiens exclusieve taak het is om de codering te genereren. Aangezien dit voorkomt dat de fysieke x86 CPU-kernen toegang krijgen tot de coderingssleutels, kan geen enkele x86-software de sleutels bewaken, extraheren of wijzigen.

Boven: Met Secure Memory Encryption (SME), codeert de encryptie-engine in de geheugencontroller alle geheugeninhoud met behulp van de AES-128-sleutels die worden geleverd door de AMD Secure Processor

Secure Encrypted Virtualization (SEV) is voorbestemd om de heterogene taken op deze servers veilig te scheiden. Het zorgt voor gegevensbescherming en -integriteit door elke VM met AES te versleutelen, waardoor deze wordt geïsoleerd van de hypervisor. Elke VM krijgt zijn eigen individuele sleutel toegewezen, die wordt geleverd door de Secure Processor. Deze sleutels zijn alleen bekend bij deze processor, waardoor gegevens veilig blijven, zelfs als een kwaadwillende VM zijn weg vindt naar het geheugen van een andere VM, of als de hypervisor wordt aangetast en een gast-VM infiltreert. De AMD EPYC Embedded 7001-serie biedt hiervoor maximaal 15 individuele SEV-gastsleutels. AMD EPYC Embedded 7002-serie processors bieden maar liefst 509 sleutels.

SEV Encrypted State (SEV-ES) verbetert de beveiliging van de EPYC Embedded 7002 Series-processors nog verder. Door de versleuteling van alle inhoud van het CPU-register toe te staan ​​na het sluiten van een VM, wordt voorkomen dat informatie lekt van de CPU-registers naar andere softwarecomponenten, zoals de hypervisor. SEV-ES kan zelfs kwaadaardige wijzigingen van CPU-registers detecteren. Het is belangrijk op te merken dat, in tegenstelling tot AMD Secure Memory Encryption, AMD SVE- en SVE-ES-beveiligingsfuncties moeten worden geactiveerd in het gastbesturingssysteem en de hypervisor. Codewijzigingen of hercompilatie van de eigenlijke applicaties zijn echter niet nodig. Dus, op voorwaarde dat de klanttoepassing draait op een systeem waarop SEV is ingeschakeld, kan deze volledig profiteren van deze beveiligingsfuncties.

Een ander beveiligingselement dat door de speciale beveiligingsprocessor wordt geleverd, is de bovengenoemde Secure Memory Encryption (SME). Het helpt de integriteit van het hoofdgeheugen te beschermen en het te beveiligen tegen cold-boot-aanvallen of soortgelijke schendingen.

Aanvallers kunnen de inhoud van het systeemgeheugen niet in platte tekst lezen, zelfs niet als ze fysieke toegang tot systemen krijgen - wat gemakkelijker te bereiken is in gedecentraliseerde infrastructuren dan in beveiligde datacenters.

Deze coderingsengine is rechtstreeks in de geheugencontroller geïntegreerd om snelle geheugentoegang te garanderen. Daarom is de Secure Processor een subsysteem van de geheugencontroller. Een ander voordeel van SME is dat er geen software-aanpassing nodig is – noch voor de hypervisor, noch voor het gastbesturingssysteem of de applicatiesoftware.