Epyc-Prozessoren für die Server am Rand der Cloud Sichere Embedded-CPUs für die Edge von AMD

Autor / Redakteur: Oswald Ulrich* / Ulrike Ostler

Software-definierte Netzwerkarchitekturen, Fahrerassistenzsysteme oder digitale Zwillinge sind Beispiele für Anwendungsfälle, die die Verlagerung leistungsfähiger Hardware in die Randbereiche der Cloud vorantreiben. Damit ändert sich auch das Anforderungsprofil der Komponenten; denn der Einsatz im Edge stellt deutlich höhere Ansprüche an Zuverlässigkeit, Wartungsfreundlichkeit oder Langzeitverfügbarkeit. Eine Schlüsselrolle spielt zudem der Schutz und die Sicherheit der im Edge-Server verarbeiteten Daten.

Firmen zum Thema

Es rührt sich etwas am Rand der Cloud; AMD integriert Features in seine „Epyc“-Prozessoren, die den Server-Einsatz in raueren und gefährdeteren Umgebungen als den klassischen Rechenzentren entgegen kommen.
Es rührt sich etwas am Rand der Cloud; AMD integriert Features in seine „Epyc“-Prozessoren, die den Server-Einsatz in raueren und gefährdeteren Umgebungen als den klassischen Rechenzentren entgegen kommen.
(Bild: Suzanne Rowcliffe auf Pixabay)

In der Cloud lassen sich selbst große Datenmengen mit nahezu beliebig skalierbarer Rechenleistung verarbeiten. Dazu müssen die Daten allerdings zuerst einmal vom Ort des Geschehens, also dort, wo sie erfasst werden, in die Cloud gelangen.

Für eine ganze Reihe von Anwendungsfällen lässt sich eine Anbindung an die Cloud zur Nutzung der dort verfügbaren Serverkapazität jedoch nicht realisieren. Hierfür gibt es verschiedene Gründe. Steuerungen mit Echtzeitanforderungen, die in autonomen Fahrzeugen, in intelligenten Verkehrssystemen oder am Shop Floor in digitalen Fabriken zum Einsatz kommen, benötigen niedrigste Latenzen, um innerhalb des gesetzten Zeitrahmens effektiv reagieren zu können. Ein langer Umweg über die Cloud ist nicht möglich, da mit zunehmenden Datenstrecken nicht nur die Risiken für mögliche Verzögerungen zunehmen, sondern auch die Gefahren durch Unterbrechungen oder gezielte Störungen der Datenverbindung ansteigen.

Ein weiteres Problem stellen die zumeist limitierten Bandbreiten für den Transport von Daten über bestehende oder weiter auszubauende Netzwerkinfrastrukturen dar. Dies betrifft grundsätzlich alle technischen Bereiche, bei denen in relativ kurzer Zeit große Datenmengen durch viele Sensoren erfasst werden – und damit einen Großteil des industriellen IoT.

Die Weiterleitung von extrem großen Rohdatenmengen zur Verarbeitung in der Cloud ist häufig schon durch die dafür anfallenden Traffic-Kosten und Zusatzinvestitionen in Konnektivität und Infrastruktur ökonomisch nicht sinnvoll. Manche Unternehmen scheuen zudem die Risiken, die sich durch das Versenden ihrer Daten in das Internet ergeben.

Dezentrale Rechenleistung gefordert

Die schnell voranschreitende Digitalisierung und die damit verbundene exponentielle Zunahme an erhobenen Daten, die je nach Anwendung möglichst schnell, zuverlässig, sicher und so effizient als möglich verarbeitet werden sollen, lässt sich mit einer „klassischen“ Cloud-Struktur also nicht oder nur teilweise erfüllen.

Als Lösung wird Rechenleistung daher in Form von Edge-Servern in den Randbereichen installiert, so dass die erfassten Rohdaten bereits vor Ort verarbeitet werden können. Auf diese Weise können selbst zeitkritische Prozesse sehr zeitnah gesteuert werden.

Die Verlagerung von immer leistungsfähigerer Servertechnik in die Edge hat zudem auch Einfluss auf die Infrastruktur und Administration der Netze vor Ort, da die Edge-Server zusätzlich auch die Orchestrierung der Netzwerke vor Ort übernehmen. So werden nun auch im industriellen Umfeld leistungsfähige Systeme für Network Function Virtualization (NFV) und Software-Defined Networking benötigt, die anfangs vornehmlich auf Carrier- oder Provider-Ebene zum Einsatz kamen. Diese können als eigenständige, robuste Appliances ausgelegt sein oder sie können als virtualisierte Systeme direkt auf den Edge-Servern konsolidiert werden.

Herausforderungen an der Edge

Allerdings stellt der Einsatz am Edge deutlich andere Anforderungen an die Serverhardware, denn bei diesen „Randbereichen“ steht nur im Ausnahmefall eine voll klimatisierte Umgebung wie im Rechenzentrum zur Verfügung. Stattdessen müssen Edge-Server so robust sein, dass sie selbst in rauen Umgebungen mit Vibrationen und teils hohen, mitunter schnell verlaufenden Temperaturschwankungen verlässlich arbeiten, wie sie zum Beispiel in Fabriken auftreten.

Da der Einsatz entsprechender Systeme meist auch für längere Zeiträume vorgesehen ist, spielt die Langzeitverfügbarkeit der wichtigen Edge-Server-Komponenten wie der Prozessortechnologie eine entscheidende Rolle. Deshalb sollten Entwickler von Edge-Server-Technik auf langzeitverfügbare Serverprozessoren der CPU-Hersteller setzen.

Ein weiterer Aspekt, der im Edge-Bereich eines Netzwerks teilweise noch stärker zum Tragen kommt, als in einem verschlossenen, physikalisch abgeschotteten Rechenzentrum, ist die Datensicherheit – und das gleich auf mehreren Ebenen. Zum einen sind die im Edge verarbeiteten Daten durch den eher abgelegenen Standort des Servers auch anfälliger für direkte Angriffe (Seitenkanalattacken). Als (neue) Netzwerkknotenpunkte stehen Edge-Server grundsätzlich auch mit mindestens einem Fuß im WAN. Sie sind damit ebenso wie ihre Kollegen im Rechenzentrum direkten Angriffen aus dem Internet ausgesetzt.

Bildergalerie
Bildergalerie mit 5 Bildern

Eine weitere Herausforderung besteht darin, bei Bedarf auch unterschiedliche Systeme und Anwendungen – beispielsweise auch die von mehreren Kunden oder Dienstleistern – sicher voneinander getrennt auf demselben Edge-Server und im selben Prozessor laufen zu lassen. Und so kann auch jeder dieser virtuellen Server bis hin zum Hypervisor selbst das Ziel eines Angriffes sein, um wiederum andere virtuelle Maschinen anzugreifen, zu manipulieren oder einfach nur deren Daten abzugreifen.

Hier sind robuste und leistungsfähige Embedded CPU-Plattformen mit in Hardware gegossenen, effektiven Sicherheitsmechanismen gefordert, welche die zahlreichen Angriffsvektoren, darunter auch das berüchtigte Side-Channel-Hacking, ab Werk und durch die Anwendung der vom Hersteller bereitgestellten Sicherheits-APIs ausschließen können. AMD hat entsprechende Sicherheitsfunktionen bereits in die Kernarchitektur seiner x86-basierten „Epyc“-Prozessor-Plattformen integriert und bietet diese auch in seinen „AMD Embedded Epyc“-Prozessoren an, die insbesondere als Server-CPUs für den Einsatz in rauen Edge-Umgebungen prädestiniert sind.

Hardware-basierte Sicherheit

Mit der „AMD Epyc Embedded 3000“ Server-Prozessor Familie sowie den „AMD Epyc Embedded 7001“ und „7002“ Server-Prozessor-Serien erweitert der Hersteller die Einsatzmöglichkeiten seiner „Zen“-Microarchitektur auf Edge-Server sowie Netzwerk- und Speicher-Appliances im industriellen Umfeld. Systementwickler können damit von denselben Benefits profitieren, die die AMD-Epyc-Prozessoren schon in den Rechenzentren so erfolgreich gemacht haben - nur eben langzeitverfügbar und zum Teil auch deutlich robuster.

Besonders hervorzuheben sind hier die integrierten Sicherheitsmechanismen auf Datacenter-Niveau, die selbst außerhalb von Rechenzentren an schlechter zu überwachenden Standorten für bestmöglichen Schutz der verarbeiteten Daten sorgen. Dabei setzt der Hersteller eine Reihe von überzeugenden Sicherheits-Features ein, die in der Hardware-Architektur der Epyc-Prozessoren integriert sind.

Das zentrale Element und Root-of-Trust bildet der dedizierte „AMD Secure Prozessor“. Er stellt den jeweiligen Sicherheits-Features AES-128 zur Verfügung, deren Schlüssel weder softwareseitig, beispielsweise über einen Hypervisor, auslesbar noch der CPU selbst bekannt sind.

Schutz vor vor Kaltstart- und Platform-Reset-Angriffen

Auf diesen sicheren 128 bit AES-Schlüsseln basiert die Secure Memory Encryption (SME), die sich über die BIOS-Einstellung einfach aktivieren lässt. Ist sie aktiviert, codiert der Memory Controller über einen vom Co-Prozessor zugewiesenen AES-128-Schlüssel automatisch alle im Speicher abgelegten Inhalte. Das schützt die Daten im Arbeitsspeicher und Cache wirksam vor Kaltstart- und Platform-Reset-Angriffen – ein Bedrohungsszenario, das am Edge durchaus vorkommen kann.

Weiterhin generiert der AMD Secure Prozessor auch die AES-Schlüssel für die Secure Encrypted Virtualization (SEV). Mit ihr lässt sich jede virtuelle Maschine auf den Epyc-CPUs mit einem eigenen eindeutigen Key verschlüsseln, der auch nur dem Prozessor bekannt ist, auf dem die virtuelle Maschine läuft. Selbst wenn eine virtuelle Maschine kompromittiert sein sollte, kann der Angreifer nicht auf die Inhalte der anderen VMs zugreifen. Und natürlich ebenso wenig auf den Hardware-isolierten Schlüsselverwalter.

Bildergalerie
Bildergalerie mit 5 Bildern

Die Epyc-Prozessoren der zweiten Generation aus der 7002er-Serie können außerdem das Register, welches der Hypervisor einer Virtuellen Maschine zuweist, über ein zusätzlich aktiviertes Modul verschlüsseln. Dieses Feature, das AMD als SEV Encrypted State (SEV-ES) ausweist, nutzt einen so genannten Guest Hypervisor Communication Block (GHCB).

Er verhindert, dass die Informationen der CPU-Register anderen Softwarekomponenten, wie beispielsweise dem Hypervisor, bekannt werden. Auch wenn der Hypervisor selbst kompromittiert ist, hat er so keine Möglichkeit auf Speicherinhalte der VM zuzugreifen, da der zwischengeschaltete GHCB auf Anfragen nur verschlüsselte Inhalte liefert.

Keine Auszeit

Anzumerken ist, dass die sichere Speicherverschlüsselung über AMD SME immer funktioniert. AMD SEV und SEV-ES benötigen allerdings die Aktivierung im Gastbetriebssystem und im Hypervisor. Die eigentlichen Applikationen müssen aber nicht verändert werden. Unterstützen Hypervisor und OS SEV, kann die Kundenapplikation die Vorteile dieser Sicherheitsfunktionen also vollumfänglich nutzen.

AMD stellt OEMs für das Design ihrer sicheren Edge-Server-Applikationen drei Embedded Epyc-Serien zur Verfügung, die jeden Performance-Anspruch und Einsatzzweck abdecken.

  • Die neuesten Familienmitglieder sind die AMD Embedded Epyc-Prozessoren der 7002 Serie (siehe Abbildung 5). Sie gibt es mit fünf Jahren Langzeitverfügbarkeit in neun unterschiedlichen Leistungsstufen.
    Vom „Octa Core AMD Epyc Embedded 7262“ mit einer maximalen Taktfrequenz von 3,4 Gigahertz (GHz) und einer TDP von 155 Watt (W) bis hin zum „AMD Epyc Embedded 7662“ Prozessor mit 64 Zen 2 Cores, 3,3 GHz Takt und bis zu 240 W TDP. Alle SoCs der EPYC 7002 Series führen dabei sage und schreibe 128 PCIe Lanes der 4. Generation und 32 SATA Gen 3 Ports aus, neben 4x USB 3.1 Gen 1 und Low-Speed Interfaces wie GPIO, I2C, LPC, SMBus, SPI und UART. Damit repräsentieren sie die absolute High-End Klasse der Edge-Server Designs, die weder zu viel Speicher noch Performance haben können.
  • Die „AMD Embedded Epyc 7001 Series“ Prozessoren starten ebenfalls bei 8 Kernen und skalieren in 14 Stufen bis hinauf zu 32 Cores beim 7601.
    Auch sie beeindrucken mit 128 PCIe Lanes und 32 SATA Gen 3 Ports und führen ebenfalls 4x USB 3.1 Gen 1 und Low-Speed Interfaces wie GPIO, I2C, LPC, SMBus, SPI und UART aus. Mit einer TDP zwischen 120 und 180 W stellen sie an die Kühllösung wesentlich geringere Anforderungen als die 7002 Series.
  • Wenn es um den Einsatz im extrem rauen Umfeld oder sogar im erweiterten Temperaturbereich von -40 Grad bis 85 Grad geht, dann sind die „AMD Embedded Epyc 3000“ Prozessoren erste Wahl.
    Mit bis zu 16 hoch performanten Zen Cores samt flexibler I/O von bis zu 64 PCIe Gen 3 Lanes, 8 x 10Gb Ethernet und 16x SATA Ports bieten sie Embedded Designs eine gute Kombination von Performance und Resilienz.

* Autor Oswald Ulrich hat den Artikel auf Basis von Angaben von AMD Embedded Solutions erstellt.

(ID:47541893)