AMD SEV / SEV-SNP
Was ist AMD SEV / SEV-SNP?
AMD SEV / SEV-SNPAMD-EPYC-Technologie, die den Speicher jeder virtuellen Maschine verschluesselt und integritaetsgeschuetzt isoliert - selbst vor einem boesartigen oder kompromittierten Hypervisor.
AMD Secure Encrypted Virtualization (SEV) verschluesselt den Speicher jeder virtuellen Maschine mit einem VM-spezifischen Schluessel, der vom AMD Secure Processor auf dem Chip verwaltet wird. SEV-ES verschluesselt zusaetzlich den Registerzustand bei VM-Exits, und SEV-SNP (Secure Nested Paging), eingefuehrt mit EPYC 7003 Milan, schuetzt die Speicherintegritaet ueber eine Reverse Map Table gegen boesartiges Remapping, Replays und Aliasing durch den Hypervisor. SEV-SNP unterstuetzt Remote Attestation der Gast-Messung (VCEK/VLEK-Kette) fuer Confidential-Computing-Workloads. Es treibt Azure Confidential VMs (DCasv5/ECasv5), Angebote rund um AWS Nitro Enclaves und Google Cloud Confidential VMs, sodass Mieter unveraenderte Linux-/Windows-Gaeste mit kryptografischer Isolation gegenueber dem Cloud-Provider betreiben koennen.
● Beispiele
- 01
Die Azure-DCasv5/ECasv5-Confidential-VMs nutzen AMD SEV-SNP.
- 02
Confidential-Kubernetes-Knoten pruefen ihren Attestation-Report vor dem Cluster-Beitritt.
● Häufige Fragen
Was ist AMD SEV / SEV-SNP?
AMD-EPYC-Technologie, die den Speicher jeder virtuellen Maschine verschluesselt und integritaetsgeschuetzt isoliert - selbst vor einem boesartigen oder kompromittierten Hypervisor. Es gehört zur Kategorie Kryptografie der Cybersicherheit.
Was bedeutet AMD SEV / SEV-SNP?
AMD-EPYC-Technologie, die den Speicher jeder virtuellen Maschine verschluesselt und integritaetsgeschuetzt isoliert - selbst vor einem boesartigen oder kompromittierten Hypervisor.
Wie funktioniert AMD SEV / SEV-SNP?
AMD Secure Encrypted Virtualization (SEV) verschluesselt den Speicher jeder virtuellen Maschine mit einem VM-spezifischen Schluessel, der vom AMD Secure Processor auf dem Chip verwaltet wird. SEV-ES verschluesselt zusaetzlich den Registerzustand bei VM-Exits, und SEV-SNP (Secure Nested Paging), eingefuehrt mit EPYC 7003 Milan, schuetzt die Speicherintegritaet ueber eine Reverse Map Table gegen boesartiges Remapping, Replays und Aliasing durch den Hypervisor. SEV-SNP unterstuetzt Remote Attestation der Gast-Messung (VCEK/VLEK-Kette) fuer Confidential-Computing-Workloads. Es treibt Azure Confidential VMs (DCasv5/ECasv5), Angebote rund um AWS Nitro Enclaves und Google Cloud Confidential VMs, sodass Mieter unveraenderte Linux-/Windows-Gaeste mit kryptografischer Isolation gegenueber dem Cloud-Provider betreiben koennen.
Wie schützt man sich gegen AMD SEV / SEV-SNP?
Schutzmaßnahmen gegen AMD SEV / SEV-SNP kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für AMD SEV / SEV-SNP?
Übliche alternative Bezeichnungen: SEV, SEV-ES, SEV-SNP, Secure Encrypted Virtualization.
● Verwandte Begriffe
- cryptography№ 546
Intel SGX
Intel Software Guard Extensions, ein CPU-Befehlssatz, der verschluesselte Speicher-Enklaven schafft, um Code und Daten vor kompromittiertem OS oder Hypervisor zu schuetzen.
- cloud-security№ 1177
Trusted Execution Environment (TEE)
Sicherer, isolierter Ausführungskontext im Prozessor, in dem Code und Daten in Vertraulichkeit und Integrität geschützt sind — auch vor Host-OS und Hypervisor.
- cloud-security№ 208
Confidential Computing
Schutz von Daten während ihrer Verarbeitung, indem Workloads in hardwarebasierten Trusted Execution Environments laufen, die sie von Host und Cloud-Betreiber isolieren.
- cryptography№ 460
Hardware-Attestation
Kryptografisches Protokoll, mit dem ein Geraet einem entfernten Verifier seine Identitaet und Softwaremessungen ueber einen in manipulationssicherer Hardware verankerten Schluessel nachweist.
- cryptography№ 060
ARM TrustZone
Hardware-Sicherheitserweiterung von ARM-CPUs, die das SoC in eine Secure World und eine Normal World aufteilt und ein TEE fuer Schluessel, DRM und Biometrie bereitstellt.