AMD SEV / SEV-SNP
Qu'est-ce que AMD SEV / SEV-SNP ?
AMD SEV / SEV-SNPTechnologie AMD EPYC qui chiffre et protege l'integrite de la memoire de chaque machine virtuelle, isolant les invites d'un hyperviseur malveillant ou compromis.
AMD Secure Encrypted Virtualization (SEV) chiffre la memoire de chaque machine virtuelle avec une cle propre a la VM, geree par le processeur AMD Secure Processor present sur la puce. SEV-ES etend la protection a l'etat des registres lors des sorties de VM, et SEV-SNP (Secure Nested Paging), introduit avec EPYC 7003 Milan, ajoute la protection d'integrite memoire (Reverse Map Table) contre les remappages, rejouages et aliasings malveillants de l'hyperviseur. SEV-SNP gere l'attestation distante de la mesure de l'invite (chaine VCEK/VLEK) pour les charges de confidential computing. Il alimente les VM confidentielles Azure (DCasv5/ECasv5), des offres voisines d'AWS Nitro Enclaves et les Confidential VM Google Cloud, ce qui permet d'executer des invites Linux/Windows non modifies en isolement cryptographique du fournisseur cloud.
● Exemples
- 01
Les VM confidentielles Azure DCasv5/ECasv5 utilisent AMD SEV-SNP.
- 02
Des noeuds Kubernetes confidentiels verifient leur rapport d'attestation avant de rejoindre le cluster.
● Questions fréquentes
Qu'est-ce que AMD SEV / SEV-SNP ?
Technologie AMD EPYC qui chiffre et protege l'integrite de la memoire de chaque machine virtuelle, isolant les invites d'un hyperviseur malveillant ou compromis. Cette notion relève de la catégorie Cryptographie en cybersécurité.
Que signifie AMD SEV / SEV-SNP ?
Technologie AMD EPYC qui chiffre et protege l'integrite de la memoire de chaque machine virtuelle, isolant les invites d'un hyperviseur malveillant ou compromis.
Comment fonctionne AMD SEV / SEV-SNP ?
AMD Secure Encrypted Virtualization (SEV) chiffre la memoire de chaque machine virtuelle avec une cle propre a la VM, geree par le processeur AMD Secure Processor present sur la puce. SEV-ES etend la protection a l'etat des registres lors des sorties de VM, et SEV-SNP (Secure Nested Paging), introduit avec EPYC 7003 Milan, ajoute la protection d'integrite memoire (Reverse Map Table) contre les remappages, rejouages et aliasings malveillants de l'hyperviseur. SEV-SNP gere l'attestation distante de la mesure de l'invite (chaine VCEK/VLEK) pour les charges de confidential computing. Il alimente les VM confidentielles Azure (DCasv5/ECasv5), des offres voisines d'AWS Nitro Enclaves et les Confidential VM Google Cloud, ce qui permet d'executer des invites Linux/Windows non modifies en isolement cryptographique du fournisseur cloud.
Comment se défendre contre AMD SEV / SEV-SNP ?
Les défenses contre AMD SEV / SEV-SNP combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de AMD SEV / SEV-SNP ?
Noms alternatifs courants : SEV, SEV-ES, SEV-SNP, Secure Encrypted Virtualization.
● Termes liés
- cryptography№ 546
Intel SGX
Intel Software Guard Extensions, jeu d'instructions creant des enclaves memoire chiffrees pour proteger code et donnees d'un OS ou d'un hyperviseur compromis.
- cloud-security№ 1177
Environnement d'Exécution de Confiance (TEE)
Contexte d'exécution sécurisé et isolé au sein du processeur où code et données sont protégés en confidentialité et en intégrité, même vis-à-vis de l'OS hôte et de l'hyperviseur.
- cloud-security№ 208
Informatique confidentielle
Protéger les données pendant leur traitement en exécutant les charges dans des environnements d'exécution de confiance matériels isolés de l'hôte et de l'opérateur cloud.
- cryptography№ 460
Attestation materielle
Protocole cryptographique par lequel un appareil prouve son identite et ses mesures logicielles a un verificateur distant via une cle ancree dans un materiel inviolable.
- cryptography№ 060
ARM TrustZone
Extension de securite materielle des processeurs ARM partitionnant le SoC en monde securise et monde normal, offrant un TEE pour cles, DRM et biometrie.