文章來源：至頂網(wǎng) 董培新

幾個(gè)月前，英特爾發(fā)布了全新第三代英特爾® 至強(qiáng)® 可擴(kuò)展處理器Ice Lake。5月20日，英特爾公司市場營銷集團(tuán)副總裁兼中國區(qū)數(shù)據(jù)中心銷售總經(jīng)理陳葆立與幾位英特爾技術(shù)專家一道，就第三代英特爾® 至強(qiáng)® 可擴(kuò)展處理器Ice Lake產(chǎn)品在安全、人工智能等方面的特定功能向大家進(jìn)行了介紹。

 

通過陳葆立的介紹，我們了解到第三代英特爾® 至強(qiáng)® 可擴(kuò)展處理器性能和上一代相比整體提升了46%。除性能外，第三代英特爾® 至強(qiáng)® 可擴(kuò)展處理器更突出的是安全性和人工智能。

獨(dú)立增強(qiáng)的英特爾軟件防護(hù)擴(kuò)展 SGX

在英特爾技術(shù)專家的介紹中，我們了解到當(dāng)前云計(jì)算系統(tǒng)所面臨的核心安全問題，以及英特爾軟件防護(hù)擴(kuò)展SGX所提供的安全解決之道。

 

SGX的全稱是Intel Software Guard Extension。為什么叫“擴(kuò)展”？軟件防護(hù)擴(kuò)展就是一個(gè)新的指令集擴(kuò)展，方便我們的軟件開發(fā)者可以去直接通過調(diào)用CPU的指令來實(shí)現(xiàn)平臺安全隔離的技術(shù)。它是為應(yīng)用程序中的數(shù)據(jù)提供獨(dú)立于操作系統(tǒng)和硬件配置的增強(qiáng)安全防護(hù)，英特爾強(qiáng)調(diào)的并不是它對內(nèi)存的加解密能力，而是提供在內(nèi)存當(dāng)中的隔離區(qū)間，幫助軟件開發(fā)者進(jìn)行軟件設(shè)計(jì)的安全產(chǎn)品。

現(xiàn)在大家非常關(guān)注數(shù)據(jù)安全，特別是很多客戶或者企業(yè)把數(shù)據(jù)放到云上，他們就非常關(guān)注三種狀況。第一種，他們希望在云端可以加密存儲，二是在云端和自己的本地?cái)?shù)據(jù)中心之間會有一個(gè)加密傳輸，三是數(shù)據(jù)如果落到服務(wù)器當(dāng)中，對服務(wù)器進(jìn)行運(yùn)算的時(shí)候是在內(nèi)存當(dāng)中和服務(wù)器CPU進(jìn)行交互的，為了保證全生命周期的數(shù)據(jù)安全，很有必要對這三種數(shù)據(jù)狀態(tài)進(jìn)行加密保護(hù)。

隨著英特爾SGX開始在數(shù)據(jù)中心得到應(yīng)用，工作負(fù)載在內(nèi)存里面對CPU進(jìn)行運(yùn)算的時(shí)候，就可以在指定的內(nèi)存區(qū)域里，和當(dāng)前的操作系統(tǒng)、硬件配置隔離開，把敏感數(shù)據(jù)進(jìn)行隔離使用。簡單來說就是有一個(gè)CPU硬件，上面有一些系統(tǒng)內(nèi)存，有一些數(shù)據(jù)如果是加載到系統(tǒng)內(nèi)存當(dāng)中，需要由CPU來回調(diào)動的時(shí)候，有一種機(jī)制，可以為單獨(dú)的應(yīng)用程序劃分出單獨(dú)區(qū)域，由CPU進(jìn)行單獨(dú)的加解密操作。這樣。放在這里面的數(shù)據(jù)，包括部分代碼和整個(gè)底層的操作系統(tǒng)、虛擬機(jī)管理程序這一系列高權(quán)限軟件的訪問都會被禁止。這樣，攻擊者或黑客即便已經(jīng)控制了系統(tǒng)上的虛擬機(jī)管理程序，也沒有辦法去非法訪問到安全飛地中受保護(hù)的數(shù)據(jù)和代碼。

最近隱私計(jì)算聯(lián)盟推薦整個(gè)業(yè)態(tài)都使用像SGX這種基于硬件的可信執(zhí)行環(huán)境。它就是提供了一個(gè)全新形態(tài)的安全和隱私保護(hù)，目標(biāo)是能夠幫助各級組織把他們敏感的工作負(fù)載放心地放到公有云或是遠(yuǎn)端節(jié)點(diǎn)上。這樣就可以在本地加密，傳輸?shù)竭h(yuǎn)端模塊，在云上進(jìn)行加密存儲。在運(yùn)算的時(shí)候，也是在內(nèi)存當(dāng)中由SGX提供了這種內(nèi)存隔離飛地來進(jìn)行必要的敏感數(shù)據(jù)運(yùn)算。

目前SGX技術(shù)已經(jīng)開始應(yīng)用在阿里、騰訊、百度等企業(yè)的相關(guān)產(chǎn)品之中。

除此之外，在英特爾第三代英特爾® 至強(qiáng)® 可擴(kuò)展處理器上，還提供了針對密碼操作硬件加速的全新指領(lǐng)集?？梢栽贠penSSL RSA 2048位的簽名上，相比上一代CPU，單線程情況下有5.6倍的提升；在進(jìn)行AES-GCM對稱加密方式的情況下，相對上一代產(chǎn)品，單線程情況下有3.3倍的提升。

 

為人工智能注入靈活性能

接下來，英特爾技術(shù)專家又向我們介紹了第三代英特爾® 至強(qiáng)® 可擴(kuò)展處理器在針對AI、以及AI和安全結(jié)合的應(yīng)用場景中的一些實(shí)際的案例。

 

在性能上面，通過Ice Lake整個(gè)架構(gòu)的改進(jìn)，性能比前一代Cascade Lake能夠有74%的提升，這樣的性能相較于競爭對手AMD的產(chǎn)品有很大的性能的領(lǐng)先優(yōu)勢，圖片識別性能可以高達(dá)25倍。

現(xiàn)在的CPU架構(gòu)中會大量利用到AVX-512指令集。目前英特爾® 至強(qiáng)® 是唯一能夠支持AVX-512指令集的方案。得益于這樣的指令集支持，英特爾® 至強(qiáng)® 在多種人工智能的負(fù)載上都能夠有非常優(yōu)秀的性能表現(xiàn)，無論是對標(biāo)AMD EPYC的產(chǎn)品還是英偉達(dá)的GPU解決方案。

因此，英特爾和業(yè)界一起投入了大量的資源，在軟件方案上進(jìn)行了深度優(yōu)化。比如說在AI的開發(fā)應(yīng)用當(dāng)中應(yīng)用最廣的開源框架TensorFlow。在TensorFlow上優(yōu)化的ResNet的性能相較于默認(rèn)發(fā)行版可以提升10倍。最新的進(jìn)展是TensorFlow的維護(hù)者——谷歌已經(jīng)認(rèn)可了英特爾在TensorFlow投入的優(yōu)化性能。

AI不僅是深度學(xué)習(xí)，而且還包含了很多經(jīng)典的機(jī)器學(xué)習(xí)的場景，比如金融、銀行，他們現(xiàn)在更需要的是可以解讀一些機(jī)器學(xué)習(xí)模型。機(jī)器學(xué)習(xí)的AI開發(fā)應(yīng)用中，Scikit-Learn是最流行的應(yīng)用開發(fā)包，英特爾的工程團(tuán)隊(duì)也和開源社區(qū)一起優(yōu)化了針對Scikit-Learn的機(jī)器學(xué)習(xí)的軟件算法性能。通過英特爾的優(yōu)化，在Scikit-Learn上可以獲得100倍的性能提升。

通過這樣的軟件優(yōu)化，客戶可以更好地發(fā)揮硬件的潛力。目前在中國乃至在全球，在英特爾的Ice Lake推出之后，在業(yè)界已經(jīng)有非常多的成功的應(yīng)用場景，該產(chǎn)品也正在市場上服務(wù)于大量的用戶。