您现在的位置是:首页 > 科技网站首页科技

AMD的安全加密虚拟化来自于控制台上的工作

  • 科技
  • 2019-08-30 14:03:52

“我认为在三到四年内,如果你无法通过加密方式从云提供商那里控制和隔离那个东西,那么甚至考虑在云中部署虚拟机也是荒谬的。”

AMD开始开发SEV,当时它正在为微软的Xbox One和索尼的PlayStation 4开发半定制芯片,两者都是在2014年推出的.Norrod指出,以前的控制台几代人很容易被黑客攻击,因此控制台游戏盗版猖獗:

“前几代游戏机可能被黑客入侵,所以你可以去10英里半径范围内的任何地方[和]购买一个4TB的硬盘[有]每一个PlayStation 3游戏都写在硬盘。”

对于Xbox One和PS4,AMD实施了加密隔离,这意味着控制台游戏的开发者不必相信玩家不要盗用他们的游戏。诺罗德在2014年加入AMD之后很快就了解了这一功能,并将其列入了EPYC服务器芯片的路线图。

Norrod看到了云中托管的虚拟机和容器功能的潜力 - 与控制台游戏开发人员不必信任控制台所有者一样,云应用程序的开发人员不必信任数据中心所有者不要窃取来自其应用程序的敏感信息

什么是AMD的SEV?

AMD针对EPYC芯片的安全加密虚拟化功能可以对基于AMD的服务器上的虚拟机的整个内存进行加密,而无需虚拟化应用程序开发人员进行代码更改(但是,它需要由主机操作系统和虚拟机管理程序启用)。

AMD的SEV和英特尔的软件卫士扩展(SGX)之间的区别在于,SGX只加密应用程序代码的一小部分,例如存储加密密钥的部分。AMD的SEV加密虚拟化应用程序的完整运行代码。

两种方法都有好处和缺点。理论上,AMD的SEV更好,因为它加密更多。然而,在实践中,这也意味着它可能不那么安全,因为加密代码的攻击面要大得多。英特尔还开始研究类似的功能,称为多键全内存加密(MKTME),但在我们在市​​场上看到之前应该还需要一段时间。

第一代EPYC服务器只能生成15个加密密钥,但第二代能够生成509个密钥。这些密钥由AMD的PSP生成,它配备了一个Arm安全协处理器。管理程序或虚拟机无法访问这些协处理器。

AMD的SEV即将推向您附近的服务器

AMD与VMWare合作开发第二代EPYC处理器,因此VMWare将在下一版VSphere虚拟化软件中支持SEV。IBM的Red Hat和其他Linux发行版也将很快支持该功能。

诺罗德说:“您将能够拥有一个全新的安全级别,您可以独立于云提供商进行控制。”Dominic Daninger是AMD系统制造商和合作伙伴Nor-Tech的副总裁,他表示第二代EPYC芯片的核心数量很高。他还称新的和改进的SEV功能应该吸引“任何正在进行严肃虚拟化的人”。

Top