AMD SEV / SEV-SNP
O que é AMD SEV / SEV-SNP?
AMD SEV / SEV-SNPTecnologia AMD EPYC que cifra e protege a integridade da memoria de cada maquina virtual, isolando os convidados de um hipervisor malicioso ou comprometido.
AMD Secure Encrypted Virtualization (SEV) cifra a memoria de cada maquina virtual com uma chave especifica por VM gerida pelo AMD Secure Processor no chip. O SEV-ES estende a protecao ao estado dos registos em saidas de VM, e o SEV-SNP (Secure Nested Paging), introduzido com o EPYC 7003 Milan, adiciona integridade de memoria (Reverse Map Table) contra remapeamento, replay e aliasing maliciosos pelo hipervisor. O SEV-SNP suporta atestacao remota da medicao do convidado (cadeia VCEK/VLEK) para cargas de confidential computing. E a base das VMs confidenciais do Azure (DCasv5/ECasv5), de ofertas adjacentes ao AWS Nitro Enclaves e das Confidential VMs do Google Cloud, permitindo executar Linux/Windows nao modificados em isolamento criptografico do provedor de nuvem.
● Exemplos
- 01
As VMs confidenciais Azure DCasv5/ECasv5 utilizam AMD SEV-SNP.
- 02
Nos Kubernetes confidenciais verificam o relatorio de atestacao antes de aderir ao cluster.
● Perguntas frequentes
O que é AMD SEV / SEV-SNP?
Tecnologia AMD EPYC que cifra e protege a integridade da memoria de cada maquina virtual, isolando os convidados de um hipervisor malicioso ou comprometido. Pertence à categoria Criptografia da cibersegurança.
O que significa AMD SEV / SEV-SNP?
Tecnologia AMD EPYC que cifra e protege a integridade da memoria de cada maquina virtual, isolando os convidados de um hipervisor malicioso ou comprometido.
Como funciona AMD SEV / SEV-SNP?
AMD Secure Encrypted Virtualization (SEV) cifra a memoria de cada maquina virtual com uma chave especifica por VM gerida pelo AMD Secure Processor no chip. O SEV-ES estende a protecao ao estado dos registos em saidas de VM, e o SEV-SNP (Secure Nested Paging), introduzido com o EPYC 7003 Milan, adiciona integridade de memoria (Reverse Map Table) contra remapeamento, replay e aliasing maliciosos pelo hipervisor. O SEV-SNP suporta atestacao remota da medicao do convidado (cadeia VCEK/VLEK) para cargas de confidential computing. E a base das VMs confidenciais do Azure (DCasv5/ECasv5), de ofertas adjacentes ao AWS Nitro Enclaves e das Confidential VMs do Google Cloud, permitindo executar Linux/Windows nao modificados em isolamento criptografico do provedor de nuvem.
Como se defender contra AMD SEV / SEV-SNP?
As defesas contra AMD SEV / SEV-SNP costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para AMD SEV / SEV-SNP?
Nomes alternativos comuns: SEV, SEV-ES, SEV-SNP, Secure Encrypted Virtualization.
● Termos relacionados
- cryptography№ 546
Intel SGX
Intel Software Guard Extensions, conjunto de instrucoes da CPU que cria enclaves de memoria cifrada para proteger codigo e dados de um SO ou hipervisor comprometido.
- cloud-security№ 1177
Ambiente de Execução Confiável (TEE)
Contexto de execução seguro e isolado dentro do processador onde código e dados são protegidos em confidencialidade e integridade, mesmo face ao SO host e ao hipervisor.
- cloud-security№ 208
Computação confidencial
Proteger os dados durante o processamento, executando as cargas dentro de Ambientes de Execução Confiáveis baseados em hardware, isolando-as do host e do operador cloud.
- cryptography№ 460
Atestacao em hardware
Protocolo criptografico em que um dispositivo prova a sua identidade e medicoes de software a um verificador remoto com uma chave ancorada em hardware resistente a violacao.
- cryptography№ 060
ARM TrustZone
Extensao de seguranca em hardware das CPUs ARM que divide o SoC em Mundo Seguro e Mundo Normal, oferecendo um TEE para chaves, DRM e dados biometricos.