5.1.5 AMD安全虚拟化的增强
AMD SEV提供了硬件级的内存加密方案,用以实现安全加密的虚拟化:
内存控制器中集成了AES-128硬件加速引擎:客户操作系统通过页表选择要加密的页,对终端用户的应用程序没有任何改变。
AMD安全内存加密(SME):所有内存由单一的密钥进行加密,仅仅在BIOS中开启就可以实现(TSME)。
AMD安全加密虚拟化(SEV):每台虚拟机都会被分配自己的独立加密密钥,宿主机和客户虚拟机之间相互加密隔离。
AMD的TEE硬件方案最新的SEV-SNP以现有的SEV和SEV-ES功能为基础,在提供对用户VM内存和CPU寄存器加密的同时增加了新的 基于硬件的内存完整性保护,防止如数据重放、内存重映射等恶意攻击. 此外,SEV-SNP还引入了额外的可选安全增强功能,旨在支 持更多的虚拟机使用模式,提供针对中断行为的增强保护,并对最近越来越多的侧通道攻击提供更强的防御能力。
AMD的SEV和SEV-ES功能已经完整支持Anolis OS 8.6。用户不需对自己的业务进行任何改动,只需要根据云原生机密计算SIG的 文档配置好支持SEV和SEV-ES的虚拟机就可以实现安全加密的虚拟化, 同时预计年底前基于机密容器的方案也会支持Anolis OS。
