AMD Secure Encrypted Virtualization: zabezpečení pro EPYC pochází z herních konzolí

AMD tak vyvinulo svou technologii Secure Encrypted Virtualization (SEV) určenou nyní pro servery založené na procesorech EPYC díky práci, kterou odvedlo na herních konzolích Xbox One a PlayStation 4, jak nás informuje Forrest Norrod (SVP, Data Center and Embedded Solutions, AMD). Právě dle Norroda bude tato technologie naprosto nezbytná pro nasazení v datových centrech, a to už za tři až čtyři roky. Jde přitom o to, aby zákazník mohl provozovat virtuální stroj v cloudu a kryptograficky jej zcela izolovat od kohokoliv dalšího včetně poskytovatele a provozovatele serveru.

 

 

AMD přitom začalo vyvíjet technologii SEV už v době, kdy jeho semi-custom divize pracovala na APU pro Xbox One a PS4. Obě tyto konzole přišly na trh v roce 2014 a daná technologie v nich posloužila jako ochrana proti pirátům, s nimiž byly velké problémy v případě předchozí generace. Třeba PS3 se dalo relativně snadno hacknout, takže lidé pak měli možnost prostě vzít pevný disk, na něj si nechat nahrát jakoukoliv myslitelnou hru pro tuto konzoli a vesele hrát. 

 

Norrod si pak dané bezpečnostní funkce všiml poté, co v roce 2014 sám začal pracovat v AMD a brzy poté ji dal na roadmap již tehdy chystaných procesorů EPYC. Viděli v ní totiž potenciál právě pro virtuální stroje umístěné v cloudu. A stejně jako vývojáři her pro aktuální konzole už nemusí důvěřovat uživatelům, že nebudou své konzole hackovat a odemykat pro pirátské verze her, nyní i vývojáři a uživatelé cloudových aplikací nebudou muset důvěřovat provozovatelům datových center, že ti se nebudou vrtat v jejich datech. Alespoň dle toho, co slibuje Forrest Norrod. 

 

AMD SEV v procesorech EPYC umožní to, aby veškerý obsah paměti virtuálních strojů byl šifrován, a to bez jakýchkoliv úprav provozovaného softwaru, tedy až na operační systém a hypervisora. SEV se tak podobá funkci Intel Software Guard eXtensions (SGX), ovšem ta má šifrovat jen malou část aplikačního kódu, zatímco SEV šifruje celý kód virtualizované aplikace. Intel ale už začal pracovat na obdobě SEV, kterou zatím označuje jako Multi-Key Total Memory Encryption (MKTME).

 

Nové EPYC mohou generovat 509 šifrovacích klíčů, což je práce pro bezpečnostní ARMové koprocesory, k nimž hypervisor virtuálních strojů nemá přístup. AMD již navázalo spolupráci s VMWare, která bude SEV podporovat v další verzi VSphere. Brzy má přijít s podporou také Red Hat nebo jiné linuxové distribuce.