第 4 代 Intel^® Xeon^® 可擴充處理器，以 SGX、Crypto Acceleration 及 QAT 強勢提升資安保護力

無庸置疑，資訊安全始終是企業的心腹大患，因為假使數據資產遭有心人士竊取、破壞或竄改，可能重挫營運能量，後果不堪設想。企業欲強化資安體質，除需仰賴外掛式資安方案，更理想的方式便是從根本做起，藉由運算平台硬體與韌體，延伸晶片的各項保護功能，形成硬體型信任根環境，藉此保護基礎架構與資料隱私。

搭載第 4 代 Intel^® Xeon^® 可擴充處理器的資料中心，便採用諸多經過實證的先進安全技術，足以協助企業在多變的威脅環境中保護資料，為零信任安全策略打造高效穩固的後盾。

談到資料保護，企業最關心的是兩大方向，一是提升加解密、加解壓縮的執行效能，另一是擴大保護範圍。關於這些面向，第 4 代 Intel^® Xeon^® 可擴充處理器皆提供完整解決方案。

提供 TDX 與 SGX 雙指令集，落實機密運算

事實上，在第 3 代 Intel^® Xeon^® 可擴充處理器（代號 Ice Lake-SP ）時代，即已加入兩項重要的安全指令集，包括 Software Guard Extensions（SGX）、Crypto Acceleration。至於 第 4 代 Intel^® Xeon^® 可擴充處理器，亦包含 Intel^® QuickAssist Technology（Intel^® QAT）加速器，可進一步提升加解密和加解壓縮效能。

因此如今英特爾的安全平台，已涵蓋 SGX、Crypto Acceleration、QAT 三本柱，它們是讓基礎硬體能夠提供完整安全性的關鍵。儘管安全能力的涵蓋範圍甚廣，但必須包含幾個重點，首先要能保護運行的工作負載，其次著眼於加解密難免耗用較多系統資源，即需融入輔助加速的機制。英特爾致力滿足上述保護、加速等目標，幫助用戶持續保障系統安全。

此處由三個面向探討資料安全，包含資料儲存、資料傳輸及資料落地(使用)的加密保護。目前多數企業僅聚焦前兩個層面，卻忽略了資料落地後仍有遭竊取或曝露之虞。換言之資料在處理及運算過程，其實也應該被加密保護，此即為「機密運算」（Confidential Computing）概念。

在機密運算概念下，當我要做資料運算時，僅在一個最小範圍內進行資料解密；這個最小範圍稱之「Trusted Execution Environment」（TEE），TEE 是大或小，沒有絕對的對錯，端看你的信任程度到哪裡。例如你相信這台伺服器絕對安全，當資料進入這台伺服器時，便可完全解密；當然你也可以只信任伺服器裡的某台 VM，甚或更細一層只信任某支應用程式。

依 TEE 範圍大小而論，可分為幾個層次。最大的 TEE 即是完全未加密，完全不做機密運算。再下來是 Total Memory Encryption，針對記憶體進行無差別加密，算是現今較多人採納的做法，缺點是進入記憶體的資料通通要做加解密，工作負擔著實吃重。接著是英特爾提供的 Trust Domain Extensions（TDX），是 VM 等級的資料保護，意即你並不相信 Host OS 安全，只相信 OS 上面特定 VM Image 的安全性。若企業急欲保護敏感資料，需落實最小攻擊範圍，限定除了某軟體外都不允許存取資料，此時便可啟用 SGX，建立程式等級的資料保護。

QAT 加速器助陣，加解密效能再升級

因為大家普遍對資料儲存、傳輸執行加密，所以比起從前需要耗用更多 CPU 資源來做加解密、加解壓縮。為此英特爾在 Ice Lake 增加 Crypto Acceleration 指令集，用於處理加密，可顯著提升 Web server網際網路傳輸協定加密 (https://)、VPN 等應用情境的加解密效能，並減少加解密對 CPU 運算效率的影響。

時至第 4 代 Intel^® Xeon^® 可擴充處理器，英特爾在原有 CPU 核心的 Crypto Acceleration 外，在晶片上以獨立區塊的方式提供 QAT 加速器，專門用以減輕 CPU 的加解密或加解壓縮負擔，促使加解密／加解壓縮效能大幅躍升。分別在 WordPress TLS 1.3、AES-GCM 128 encode 條件下進行實測，第 4 代 Intel^® Xeon^® 可擴充處理器與五年前的第 1 代產品相比，加解密效能分別提升 2.5 倍、3.85 倍，前後落差巨大。

因 QAT 不需使用 CPU 核心做運算，對 CPU 整體運算效能的提升極具助益。若以 7K TLS 1.3 connections/second 的 SLA 作為基準，經過實測，若啟用 QAT，可減少高達 85% CPU 核心的使用，讓 CPU 保留更多資源專注執行更重要的工作。足見 QAT 相較於仍需使用 CPU 核心的 Crypto Acceleration，涵蓋範圍更大、執行效能更佳，很適合 Edge Gateway、CDN 等應用伺服器加以採用。大致上來說，只要涉及密碼、Hash或授權、公鑰加密、加解壓縮的應用，都能因為採用 QAT 而受惠；舉例來說，若以 Deflate 執行 Level 9 Compression，過去需動用 1,026 個 CPU 核心，如今在採用 QAT 前提下僅需使用 1 個核心，便能達到相同效能。

再把場景轉換至 Web Server，假設連接時需要做加密。若今天完全不用 QAT，純粹透過 CPU 核心做加密運算，需啟用 70 個核心；如果進一步導入 QAT 軟體界面，可降至 18 個核心；假使再啟用 QAT 加速器硬體，就能降至 11 個核心，前後對比降幅達 84% 之多。由此可見，英特爾提供 QAT 配套函式庫、QAT 硬體加速器等完整方案，幫助企業大幅減輕 CPU 在加解密時的資源耗用。

最後再舉一個實測案例。若以 QATzip 進行壓縮，單靠 CPU 核心做運算，需要動用 120 個核心，效能為 15.4Gbps；接著套用 Crypto Acceleration 指令集，只需使用 23 個核心，亦讓效能顯著提升至 266.6 Gbps；若今天完全將壓縮工作卸載至 QAT 加速器，僅需 4 個核心，就能讓效能推進至 367 Gbps。

總括而言，資安重點不外乎保護、加速，還需要提供完整解決方案，確保用戶的資料與軟體能順利整合至保護或加速機制。針對這些方面，英持爾皆有完善方案，使企業不管存放資料、傳輸資料甚或運算資料，都可望在高效能、低資源消耗下，輕鬆實現安全無虞的加密保護。