AMD SEV / SEV-SNP
Что такое AMD SEV / SEV-SNP?
AMD SEV / SEV-SNPТехнология AMD EPYC, шифрующая и защищающая целостность памяти каждой виртуальной машины и изолирующая гостей от вредоносного или скомпрометированного гипервизора.
AMD Secure Encrypted Virtualization (SEV) шифрует память каждой виртуальной машины уникальным ключом, которым управляет встроенный в кристалл AMD Secure Processor. SEV-ES дополнительно шифрует состояние регистров при выходах из ВМ, а SEV-SNP (Secure Nested Paging), появившийся в EPYC 7003 Milan, обеспечивает целостность памяти через Reverse Map Table, защищая от вредоносного ремаппинга, повторов и алиасинга со стороны гипервизора. SEV-SNP поддерживает удалённую аттестацию измерения гостя (цепочка VCEK/VLEK) для рабочих нагрузок конфиденциальных вычислений. На SEV-SNP построены Azure Confidential VM (DCasv5/ECasv5), смежные предложения AWS вокруг Nitro Enclaves и Confidential VM Google Cloud, позволяя запускать немодифицированные Linux/Windows-гости с криптографической изоляцией от поставщика облака.
● Примеры
- 01
Конфиденциальные ВМ Azure DCasv5/ECasv5 используют AMD SEV-SNP.
- 02
Конфиденциальные узлы Kubernetes проверяют отчёт аттестации перед входом в кластер.
● Частые вопросы
Что такое AMD SEV / SEV-SNP?
Технология AMD EPYC, шифрующая и защищающая целостность памяти каждой виртуальной машины и изолирующая гостей от вредоносного или скомпрометированного гипервизора. Относится к категории Криптография в кибербезопасности.
Что означает AMD SEV / SEV-SNP?
Технология AMD EPYC, шифрующая и защищающая целостность памяти каждой виртуальной машины и изолирующая гостей от вредоносного или скомпрометированного гипервизора.
Как работает AMD SEV / SEV-SNP?
AMD Secure Encrypted Virtualization (SEV) шифрует память каждой виртуальной машины уникальным ключом, которым управляет встроенный в кристалл AMD Secure Processor. SEV-ES дополнительно шифрует состояние регистров при выходах из ВМ, а SEV-SNP (Secure Nested Paging), появившийся в EPYC 7003 Milan, обеспечивает целостность памяти через Reverse Map Table, защищая от вредоносного ремаппинга, повторов и алиасинга со стороны гипервизора. SEV-SNP поддерживает удалённую аттестацию измерения гостя (цепочка VCEK/VLEK) для рабочих нагрузок конфиденциальных вычислений. На SEV-SNP построены Azure Confidential VM (DCasv5/ECasv5), смежные предложения AWS вокруг Nitro Enclaves и Confidential VM Google Cloud, позволяя запускать немодифицированные Linux/Windows-гости с криптографической изоляцией от поставщика облака.
Как защититься от AMD SEV / SEV-SNP?
Защита от AMD SEV / SEV-SNP обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия AMD SEV / SEV-SNP?
Распространённые альтернативные названия: SEV, SEV-ES, SEV-SNP, Secure Encrypted Virtualization.
● Связанные термины
- cryptography№ 546
Intel SGX
Intel Software Guard Extensions — набор команд CPU, создающий зашифрованные анклавы памяти, защищающие код и данные от скомпрометированных ОС или гипервизора.
- cloud-security№ 1177
Доверенная среда исполнения (TEE)
Безопасный изолированный контекст выполнения внутри процессора, где код и данные защищены по конфиденциальности и целостности даже от ОС хоста и гипервизора.
- cloud-security№ 208
Конфиденциальные вычисления
Защита данных во время обработки за счёт исполнения нагрузок в аппаратных доверенных средах исполнения, изолированных от хоста и оператора облака.
- cryptography№ 460
Аппаратная аттестация
Криптографический протокол, с помощью которого устройство доказывает удалённому верификатору свою идентичность и программные измерения ключом, укоренённым в защищённом железе.
- cryptography№ 060
ARM TrustZone
Аппаратное расширение безопасности процессоров ARM, разделяющее SoC на Secure World и Normal World и предоставляющее TEE для ключей, DRM и биометрии.