Das Thema Sicherheit in virtualisierten und „containerisierten“ Umgebungen war ein wesentliches Designkriteriums für IBMs POWER10-Prozessor. Bereits im ersten Teil zu dieser Serie lag der Fokus auf den Speicher-Interfaces, in diesem Beitrag steht das Thema integrierte Sicherheitsfunktionen beim POWER10 im Fokus.

Das deutsche IBM Forschungs- und Entwicklungszentrum bei Stuttgart spielte bei der Entwicklung des POWER10 eine wesentliche Rolle: Dazu gehörte die Gesamtverantwortung für die Prozessorverifikation und -validierung sowie den Logikentwurf verschiedener Prozessoreinheiten wie beispielsweise die Speicherverschlüsselung. Das Team war auch für den physikalischen Entwurf von Schaltungseinheiten und die Arrays verantwortlich.

Der gesamte Design-Ansatz zielte darauf ab, Verschlüsselung, Leistung und einfache Integration in bestehende IT-Infrastrukturen zu gewährleisten. Zu den Innovationen des Prozessors gehören:

  • Unterstützung von Multi-Petabyte-Memory-Clustern mit der Memory Inception-Technik. Damit lassen sich die Wirtschaftlichkeit für speicherintensive Workloads, sowie die Schlussfolgerungen großer KI-Modelle beschleunigen.
  • Neuartige Prozessorkern-Architektur mit eingebettetem Matrix Math Accelerator, der es erlaubt, um den Faktor 10, 15 und 20 schnellere KI-Inferenzen (Schlussfolgerungen, verglichen mit POWER9-Prozessor) für FP32-, BFloat16- und INT8-Berechnungen pro Prozessorsockel zu liefern, um so KI in Geschäftsanwendungen besser zu integrieren und tiefgreifendere Einblicke in die verarbeiteten Datenbestände zu ermöglichen.

End-to-End Sicherheit ist gefragt

Zudem wartet der POWER10-Chip mit drei besonderen Sicherheits-Features auf. Dazu gehören die Hardware-unterstützte Sicherheitsfunktionen, einschließlich einer transparenten Speicherverschlüsselung (Memory Encryption) zu einer besseren Unterstützung der End-to-End-Sicherheit, wie sie vor allem in Hybrid-Cloud-Konfigurationen gefragt wird.

Quelle: IBM
In modernen Umgebungen kommen häufig Container-basierte Architekturen zum Dinsatz. Sie verlangen nach einer „Enterprise class Sicherheit“, denn derartige Applikationen bilden in vielen Fällen die IT-Umgebung für die Kernaufgaben eines Unternehmens.

Dazu setzt der POWER10-Chip mit auf eine tief integrierte Powervm-Firmware, um die Isolierung von Containern zu unterstützen. Dabei werden auch verschachtelte Virtualisierungsstrukturen unterstützt, also KVM auf Powervm. Hier findet eine vollständige Isolierung, statt: Container sind von virtuellen Maschinen und von anderen Containern komplett isoliert.

Sollte ein Container kompromittiert werden, ist der POWER10-Prozessor so ausgelegt, dass er verhindert, dass andere Container in derselben virtuellen Maschine (VM) von demselben Einbruch betroffen sind. Da sich Red Hat OpenShift als Standardwahl für Hybrid-Clouds herauskristallisiert hat, bringt der POWER10-Baustein hardwarebasierte Sicherheitsverbesserungen für Container auf die Ebene der IT-Infrastruktur.

Ein weiterer Sicherheitsfaktor kommt mit der Memory Encryption ins Spiel: Sie wird auf der Hardware-Ebene abgebildet und erfolgt transparent für die Applikation. Dabei verspricht IBM, dass diese Verschlüsselung keinerlei Performance-Einbußen nach sich zieht.

Zudem wurde in den Prozessor-Core im Verschlüsselungsbereich Verbesserungen eingebaut. Damit lassen sich die gängigen Verschlüsselungs-Algorithmen (wie AES oder SHA3) ohne Performance-Einbußen einsetzen. Zudem ist die Architetur so aufgebaut, dass sie such künftige Verschlüsselungstechniken wie PQC (Post Quanten Cryptography) oder FHE (Fully Homomorphic Encryption) unterstützen kann.

Kontrolle tut Not

Cyber-Attacken entwickeln sich ständig weiter, und neu entdeckte Schwachstellen können zu signifikanten Störungen in Betriebsabläufen führen, während Unternehmen auf Abhilfemaßnahmen warten. Um Anwender besser in die Lage zu versetzen, neue Anwendungsschwachstellen proaktiv in Echtzeit abzuwehren, bietet der POWER10-Baustein den Benutzern eine dynamische Ausführungsregisterkontrolle. Mit Hilfe dieser Funktionalität lassen sich Anwendungen entwerfen, die widerstandsfähiger gegen Angriffe bei minimalen Performance-Verlusten sind.

Es wird zudem erwartet, dass der POWER10-Baustein bis zu dreimal mehr Prozessor-Energieeffizienz pro Sockel liefern wird (gegenüber IBM POWER9). Die erwartete Verbesserung soll es IBM POWER10-basierten Systemen ermöglichen, im Vergleich zu IBM POWER9-basierten Systemen bis zu dreimal mehr Benutzer, Arbeitslasten und OpenShift-Containerdichte für hybride Cloud-Workloads zu unterstützen. (rhh)

IBM