Os data centers de ponta precisam de tecnologias de servidor integrado

As tecnologias de servidor de borda são projetadas para aplicativos em tempo real que consomem muita largura de banda, o que nunca seria possível com serviços de nuvem centrais.

Eles pavimentam o caminho para fornecer aos veículos autônomos informações importantes sobre a infraestrutura em tempo real - seja ferroviário ou rodoviário. As infraestruturas que atendem às indústrias de petróleo, gás e água, bem como as redes de distribuição de eletricidade, também podem se tornar mais inteligentes se a inteligência necessária for fornecida localmente.

Outro grande campo de aplicação para servidores em rede local são os projetos da Indústria 4.0 que implementam análises de borda e onde os sistemas colaborativos copiam gêmeos digitais para garantir que eles possam usar o modelo do gêmeo para continuar os cálculos, mesmo se a rede falhar. Também é fácil entender por que as redes de comunicação de alto desempenho precisam de mais poder de computação local nas bordas se as larguras de banda devem aumentar enquanto os tempos de resposta devem ser reduzidos. Isso impacta não apenas as estações base e os nós da rede, mas também os sistemas diretamente por trás deles.

Ativar aplicativos de colocation de baixa latência - ou seja, para data centers que são "terceirizados" para a rede para permitir aplicativos táteis da Internet - são, em última análise, compartilhados por empresas e usuários. Na verdade, esses dois segmentos respondem pela maior parcela (54%) do mercado de data center de ponta, que deve crescer a um CAGR altamente dinâmico de 23% nos próximos anos, de acordo com a Global Market Insights.

Condições ambientais

Alcançar esse crescimento muitas vezes exigirá servidores significativamente diferentes tecnologia do que os farms de servidores de TI clássicos. Isso ocorre porque o aumento da descentralização significa que servidores de borda cada vez menores operarão em ambientes cada vez mais hostis. Isto, por sua vez, requer sistemas significativamente mais robustos.

Os processadores devem ser montáveis ​​em BGA para garantir maior resistência a choques e vibração. Idealmente, eles também devem oferecer alta proteção EMI contra interferência eletromagnética para fornecer alta confiabilidade operacional em ambientes industriais. A faixa de temperatura suportada também deve ser adequada para uso industrial e, dependendo da aplicação, não deve se estender apenas de 0 a + 60 ° C, mas também tolerar temperaturas significativamente mais quentes e frias variando de -40 ° C ártico a +85 ° C, que sob luz direta do sol pode ser alcançado rapidamente. Dependendo da aplicação, os sistemas também devem ser capazes de lidar com quedas bruscas de temperatura para permitir sua abertura ocasional para manutenção, mesmo se estiver frio lá fora.

As flutuações máximas de temperatura propostas pela ASHRAE em suas diretrizes de data center de borda - ou seja, 20 ° C em uma hora ou 5 ° C no máximo em 15 minutos - são claramente inadequadas e não podem ser cumpridas, especialmente quando os data centers de borda são menores do que uma cabine telefônica. Deve ser possível abrir tais sistemas para manutenção necessária em qualquer temperatura ambiente. Não existe nem mesmo a opção de deslizar rapidamente e fechar a porta novamente para realizar o trabalho de manutenção em uma sala de servidor de borda fechada.

Acima: Secure Encrypted Virtualization, ou SEV, usa criptografia AES para criptografar o hipervisor e cada máquina virtual individualmente, isolando-os uns dos outros

Quando se trata de dar suporte a ciclos de desenvolvimento e tempos de operação mais longos, o que na indústria pode facilmente significar 10 anos ou mais, a disponibilidade de longo prazo da tecnologia de processador também desempenha um papel. Além disso, as necessidades da indústria de suporte de software para atender de forma otimizada os requisitos específicos de componentes industriais diferem da TI convencional.

Isso significa que os gerentes de TI, que buscam desenvolver soluções de servidor de ponta, devem optar por variantes de processador de servidor integrado.

Segurança é essencial

Nessas circunstâncias, é melhor usar plataformas robustas de servidor incorporado. Situados entre a nuvem, a TI do escritório e a tecnologia operacional (OT), eles estão expostos a cenários de ataque cibernético de TI típicos e devem atender aos requisitos mais elevados em dois lados: robustez extrema para suportar tensões físicas na borda e requisitos de segurança mais elevados para impedir qualquer invasão tentativas da Internet. Além disso, os servidores edge e fog - como seus equivalentes de TI em data centers - agora são frequentemente projetados como infraestruturas convergentes ou hiperconvergentes com virtualização extensiva.

Para evitar que as informações do registro da CPU vazem para outros componentes de software, como o hipervisor, o SEV-ES criptografa todo o conteúdo do registro da CPU quando uma VM é fechada

Portanto, não é apenas uma questão de proteger sistemas únicos, mas plataformas inteiras, com tecnologia hipervisor e inúmeras máquinas virtuais (VMs), a fim de criar condições ideais para aplicações de colocation no perímetro, ou para consolidar o hardware para uma aplicação geral. Quando dispositivos, máquinas e sistemas são digitalizados, os controladores, gateways IoT e aplicativos de segurança, como firewall e detecção de anomalias, todos migram para os servidores de borda. O objetivo é também hospedar outros dispositivos, máquinas e sistemas nesses servidores com capacidade em tempo real, com o objetivo de, eventualmente, consolidar o OT de fábricas inteiras em tais servidores.

Ao levar em consideração a necessidade de monetizar novos modelos de negócios, esses servidores de ponta também se tornam veículos valiosos para fornecer os dados necessários para a cobrança de licenciamento baseado em recursos e serviços de pagamento por uso. Isso, é claro, exige níveis particularmente altos de segurança de dados. As tecnologias de servidor integrado da AMD oferecem uma ampla gama de recursos de segurança de servidor que já levam esses requisitos em consideração no lado do hardware.

Virtualização baseada em hardware

O elemento central e raiz da confiança é o processador AMD Secure integrado. Ele lida com as funções de segurança dos processadores AMD Embedded EPYC e oferece vários recursos de segurança criptografados AES de 128 bits. Portanto, a segurança começa com a decisão de usar um processador dedicado, cuja tarefa exclusiva é gerar a criptografia. Como isso impede que os núcleos físicos da CPU x86 acessem as chaves de criptografia, nenhum software x86 pode monitorar, extrair ou modificar as chaves.

Acima: Com Secure Memory Encryption (SME), o mecanismo de criptografia no controlador de memória criptografa todo o conteúdo da memória usando as chaves AES-128 fornecidas pelo AMD Secure Processor

O Secure Encrypted Virtualization (SEV) está predestinado a separar com segurança as tarefas heterogêneas nesses servidores. Ele garante a proteção e integridade dos dados criptografando AES cada VM, isolando-a, assim, do hipervisor. Cada VM recebe sua própria chave individual, que é fornecida pelo Secure Processor. Essas chaves são conhecidas apenas por este processador, mantendo os dados seguros mesmo se uma VM mal-intencionada encontrar seu caminho para a memória de outra VM ou se o hipervisor for comprometido e se infiltrar em uma VM convidada. A série AMD EPYC Embedded 7001 fornece até 15 chaves convidadas SEV individuais para essa finalidade. Os processadores AMD EPYC Embedded Série 7002 fornecem até 509 chaves.

O estado criptografado SEV (SEV-ES) aumenta ainda mais a segurança dos processadores EPYC Embedded Série 7002. Permitir a criptografia de todo o conteúdo do registro da CPU após o fechamento de uma VM evita o vazamento de informações dos registros da CPU para outros componentes de software, como o hipervisor. O SEV-ES pode até detectar modificações maliciosas nos registros da CPU. É importante observar que, ao contrário do AMD Secure Memory Encryption, os recursos de segurança AMD SVE e SVE-ES requerem ativação no sistema operacional convidado e no hipervisor. Mudanças de código ou recompilação dos aplicativos reais, entretanto, não são necessárias. Portanto, desde que o aplicativo do cliente seja executado em um sistema com SEV habilitado, ele pode aproveitar ao máximo esses recursos de segurança.

Outro elemento de segurança fornecido pelo processador de segurança dedicado é o Secure Memory Encryption (SME) mencionado acima. Ajuda a proteger a integridade da memória principal, protegendo-a contra ataques de inicialização a frio ou violações semelhantes.

Os invasores são incapazes de ler o conteúdo da memória do sistema em texto simples, mesmo que obtenham acesso físico aos sistemas - o que é mais fácil de conseguir em infraestruturas descentralizadas do que em data centers protegidos.

Esse mecanismo de criptografia é integrado diretamente ao controlador de memória para garantir acesso de alta velocidade à memória. Conseqüentemente, o Secure Processor é um subsistema do controlador de memória. Outra vantagem do SME é que ele não requer nenhuma adaptação de software - nem para o hipervisor, nem para o sistema operacional convidado ou o software aplicativo.