AMD的安全加密虛擬化來自于控制臺(tái)上的工作

“我認(rèn)為在三到四年內(nèi)，如果你無法通過加密方式從云提供商那里控制和隔離那個(gè)東西，那么甚至考慮在云中部署虛擬機(jī)也是荒謬的。”

AMD開始開發(fā)SEV，當(dāng)時(shí)它正在為微軟的Xbox One和索尼的PlayStation 4開發(fā)半定制芯片，兩者都是在2014年推出的.Norrod指出，以前的控制臺(tái)幾代人很容易被黑客攻擊，因此控制臺(tái)游戲盜版猖獗：

“前幾代游戲機(jī)可能被黑客入侵，所以你可以去10英里半徑范圍內(nèi)的任何地方[和]購買一個(gè)4TB的硬盤[有]每一個(gè)PlayStation 3游戲都寫在硬盤。”

對(duì)于Xbox One和PS4，AMD實(shí)施了加密隔離，這意味著控制臺(tái)游戲的開發(fā)者不必相信玩家不要盜用他們的游戲。諾羅德在2014年加入AMD之后很快就了解了這一功能，并將其列入了EPYC服務(wù)器芯片的路線圖。

Norrod看到了云中托管的虛擬機(jī)和容器功能的潛力 - 與控制臺(tái)游戲開發(fā)人員不必信任控制臺(tái)所有者一樣，云應(yīng)用程序的開發(fā)人員不必信任數(shù)據(jù)中心所有者不要竊取來自其應(yīng)用程序的敏感信息

什么是AMD的SEV?

AMD針對(duì)EPYC芯片的安全加密虛擬化功能可以對(duì)基于AMD的服務(wù)器上的虛擬機(jī)的整個(gè)內(nèi)存進(jìn)行加密，而無需虛擬化應(yīng)用程序開發(fā)人員進(jìn)行代碼更改(但是，它需要由主機(jī)操作系統(tǒng)和虛擬機(jī)管理程序啟用)。

AMD的SEV和英特爾的軟件衛(wèi)士擴(kuò)展(SGX)之間的區(qū)別在于，SGX只加密應(yīng)用程序代碼的一小部分，例如存儲(chǔ)加密密鑰的部分。AMD的SEV加密虛擬化應(yīng)用程序的完整運(yùn)行代碼。

兩種方法都有好處和缺點(diǎn)。理論上，AMD的SEV更好，因?yàn)樗用芨?。然而，在?shí)踐中，這也意味著它可能不那么安全，因?yàn)榧用艽a的攻擊面要大得多。英特爾還開始研究類似的功能，稱為多鍵全內(nèi)存加密(MKTME)，但在我們?cè)谑??場(chǎng)上看到之前應(yīng)該還需要一段時(shí)間。

第一代EPYC服務(wù)器只能生成15個(gè)加密密鑰，但第二代能夠生成509個(gè)密鑰。這些密鑰由AMD的PSP生成，它配備了一個(gè)Arm安全協(xié)處理器。管理程序或虛擬機(jī)無法訪問這些協(xié)處理器。

AMD的SEV即將推向您附近的服務(wù)器

AMD與VMWare合作開發(fā)第二代EPYC處理器，因此VMWare將在下一版VSphere虛擬化軟件中支持SEV。IBM的Red Hat和其他Linux發(fā)行版也將很快支持該功能。

諾羅德說：“您將能夠擁有一個(gè)全新的安全級(jí)別，您可以獨(dú)立于云提供商進(jìn)行控制。”Dominic Daninger是AMD系統(tǒng)制造商和合作伙伴Nor-Tech的副總裁，他表示第二代EPYC芯片的核心數(shù)量很高。他還稱新的和改進(jìn)的SEV功能應(yīng)該吸引“任何正在進(jìn)行嚴(yán)肅虛擬化的人”。