+22 голоса |
Участие AMD в работе над чипами для Xbox One и PlayStation 4 привело к созданию технологии Secure Encrypted Virtualization (SEV) для серверов EPYC. Форрест Норрод (Forrest Norrod), старший вице-президент AMD по ЦОД и встраиваемым решениям, уверен, что SEV станет обязательной функцией для компаний, работающих с датацентрами.
«Я считаю, что через три-четыре года будет даже смешно подумать о развёртывании виртуальной машины в облаке, если вы не можете криптографически контролировать и изолировать её от облачного провайдера», — заявил он.
Для Xbox One и PS4, вышедших в 2014 году, внедрённая AMD криптографическая изоляция означала, что разработчики консольных игр не должны больше полагаться на порядочность игроков, чтобы избежать пиратства контента. Норрод сказал, что узнал об этой функции вскоре после того, как присоединился к AMD в 2014 году, и, что он включил ее в дорожную карту для серверных чипов EPYC.
AMD Secure Encrypted Virtualization для чипов EPYC делает возможным шифрование всей памяти виртуальных машин на серверах, причём от разработчиков виртуализованных приложений не требуется вносить изменения в свой код (модифицируются операционная система и гипервизор хоста).
Разница между AMD SEV и Software Guard eXtensions (SGX) корпорации Intel заключается в том, что SGX шифрует лишь малую часть кода приложения, например ту, в которой хранятся ключи шифрования. SEV кодирует полный исполняемый код виртуализованного приложения.
Оба подхода имеют свои недостатки и сильные стороны. В теории, SEV лучше, так как шифрует больше. Но на практике площадь атаки для целиком зашифрованной программы также возрастает. Intel уже начала работу над функцией, аналогичной SEV, которая называется у неё Multi-Key Total Memory Encryption (MKTME), но пройдёт немало времени прежде, чем она достигнет рыночной кондиции.
Серверы EPYC первого поколения могут генерировать всего 15 ключей шифрования, но у второго поколения из число возрастает до 509. Для генерации ключей используется AMD PSP с защищённым сопроцессором Arm. Эти сопроцессоры недоступны для гипервизоров или виртуальных машин.
AMD сотрудничает с VMware в работе над вторым поколением процессоров EPYC, и последняя обеспечит поддержку SEV в следующей версии виртуализационного ПО VSphere. IBM Red Hat и прочие дистрибутивы Linux также вскоре примут на вооружение эту функцию.
По мере того как Windows и другие ОС начинают использовать преимущества безопасности на основе виртуализации, функция SEV становится более востребованной не только клиентами ЦОД, но и владельцами ПК. Но от AMD пока не поступало указаний на то, планирует ли она реализовать SEV для потребительских чипов Rizen.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+22 голоса |