AMD的安全加密虛擬化來自于控制臺上的工作

“我認為在三到四年內(nèi)，如果你無法通過加密方式從云提供商那里控制和隔離那個東西，那么甚至考慮在云中部署虛擬機也是荒謬的。”

AMD開始開發(fā)SEV，當(dāng)時它正在為微軟的Xbox One和索尼的PlayStation 4開發(fā)半定制芯片，兩者都是在2014年推出的.Norrod指出，以前的控制臺幾代人很容易被黑客攻擊，因此控制臺游戲盜版猖獗：

“前幾代游戲機可能被黑客入侵，所以你可以去10英里半徑范圍內(nèi)的任何地方[和]購買一個4TB的硬盤[有]每一個PlayStation 3游戲都寫在硬盤。”

對于Xbox One和PS4，AMD實施了加密隔離，這意味著控制臺游戲的開發(fā)者不必相信玩家不要盜用他們的游戲。諾羅德在2014年加入AMD之后很快就了解了這一功能，并將其列入了EPYC服務(wù)器芯片的路線圖。

Norrod看到了云中托管的虛擬機和容器功能的潛力 - 與控制臺游戲開發(fā)人員不必信任控制臺所有者一樣，云應(yīng)用程序的開發(fā)人員不必信任數(shù)據(jù)中心所有者不要竊取來自其應(yīng)用程序的敏感信息

什么是AMD的SEV?

AMD針對EPYC芯片的安全加密虛擬化功能可以對基于AMD的服務(wù)器上的虛擬機的整個內(nèi)存進行加密，而無需虛擬化應(yīng)用程序開發(fā)人員進行代碼更改(但是，它需要由主機操作系統(tǒng)和虛擬機管理程序啟用)。

AMD的SEV和英特爾的軟件衛(wèi)士擴展(SGX)之間的區(qū)別在于，SGX只加密應(yīng)用程序代碼的一小部分，例如存儲加密密鑰的部分。AMD的SEV加密虛擬化應(yīng)用程序的完整運行代碼。

兩種方法都有好處和缺點。理論上，AMD的SEV更好，因為它加密更多。然而，在實踐中，這也意味著它可能不那么安全，因為加密代碼的攻擊面要大得多。英特爾還開始研究類似的功能，稱為多鍵全內(nèi)存加密(MKTME)，但在我們在市??場上看到之前應(yīng)該還需要一段時間。

第一代EPYC服務(wù)器只能生成15個加密密鑰，但第二代能夠生成509個密鑰。這些密鑰由AMD的PSP生成，它配備了一個Arm安全協(xié)處理器。管理程序或虛擬機無法訪問這些協(xié)處理器。

AMD的SEV即將推向您附近的服務(wù)器

AMD與VMWare合作開發(fā)第二代EPYC處理器，因此VMWare將在下一版VSphere虛擬化軟件中支持SEV。IBM的Red Hat和其他Linux發(fā)行版也將很快支持該功能。

諾羅德說：“您將能夠擁有一個全新的安全級別，您可以獨立于云提供商進行控制。”Dominic Daninger是AMD系統(tǒng)制造商和合作伙伴Nor-Tech的副總裁，他表示第二代EPYC芯片的核心數(shù)量很高。他還稱新的和改進的SEV功能應(yīng)該吸引“任何正在進行嚴(yán)肅虛擬化的人”。