مجازیسازی ذاتی این محیطهای ابری عمومی، خصوصی و ترکیبی چند مستاجر، حافظه، حافظه پنهان و رجیسترهای هر ماشین مجازی را به طور بالقوه در برابر دسترسیهای غیرمجاز آسیبپذیر میکند. ما مدتهاست که نیاز به محافظت از دادهها در حالت استراحت و در حال حرکت را پذیرفتهایم، اما حفاظت از دادهها در حین استفاده اخیراً به یک اولویت تبدیل شده است زیرا محیطهای مجازیسازی شده عادی شدهاند.
- در محل: سازمان شما مالک تمام سخت افزارهایی است که محیط مجازی شما را میزبانی می کند. در این سناریو، شما از یک Hypervisor مانند VMware یا ابزاری مانند Nutanix برای ایجاد سرورهای مجازی، ذخیره سازی و شبکه استفاده خواهید کرد. این تنظیمات a نامیده می شود ابر خصوصی.
- ابر عمومی: سازمان شما منابع مورد نیاز خود را از یک ارائه دهنده خدمات ابری (CSP) مانند Google Cloud، Microsoft Azure یا Amazon AWS اجاره می کند.
- ترکیبی: ترکیبی از عمومی و خصوصی. به عنوان مثال، سازمان شما ممکن است از یک ابر خصوصی استفاده کند و به یک ابر عمومی برای رسیدگی به نیازهای افزایشی گسترش یابد.
ما خوشحالیم که با CSP های پیشرو و راه حل های مجازی سازی، از جمله:
- Google Cloud*: ماشین های مجازی محرمانه گوگل و گره های GKE محرمانه، مجازی سازی رمزگذاری شده امن AMD را فعال می کنند تا به ارائه محاسبات محرمانه برای ابر کمک کند.
- IBM*: بررسی نحوه اعمال رمزگذاری ماشین مجازی (VM) بر روی پلتفرم کانتینر OpenShift Red Hat® (OCP) و Kubernetes از طریق گزینه های مجازی سازی حجم کاری ارائه شده توسط KubeVirt و Kata Containers.
- Microsoft® Azure®*: با استفاده از زیرساختها و سرویسهای محاسباتی محرمانه Azure، به حفظ امنیت دادههای حیاتی کسبوکارتان در حین استفاده کمک کنید.
- نوتانیکس*: Nutanix از SEV در AOS پشتیبانی می کند. AMD و Nutanix در حال کار برای فعال کردن SEV در Hypervisor Nutanix AHV هستند.
- VMware®: VMware vSphere® 7.0 U1 و بالاتر پشتیبانی SEV-ES در سطح میزبان خارج از جعبه را برای ماشینهای مجازی ارائه میکند، و vSphere 7.0 U2 این حفاظت را به کانتینرهایی که از سیستمعاملهای SEV-ES پشتیبانی میکنند، مانند SUSE گسترش میدهد. 15.
پشتیبانی از سیستم عامل
*لینکهای سایتهای شخص ثالث برای سهولت ارائه شدهاند و AMD هیچ مسئولیتی در قبال محتویات این سایتهای لینکشده ندارد و هیچگونه تاییدیهای ندارد، مگر اینکه صریحاً ذکر شده باشد.
منبع
در وبلاگ آینده، بیشتر در مورد پشته های سیستم عامل صحبت خواهم کرد که هر یک از سه سطح فعلی (SEV، SEV-ES و SEV-SNP) ویژگی های امنیتی مبتنی بر CPU AMD EPYC را فعال می کنند. همچنین با ادامه سال 2022، اخبار هیجان انگیزی برای به اشتراک گذاشتن خواهم داشت. گوش به زنگ باشید!
محاسبات محرمانه از رمزگذاری مبتنی بر سخت افزار برای کمک به محافظت از حریم خصوصی و یکپارچگی داده ها استفاده می کند. پردازنده های AMD EPYC شامل مجموعه ویژگی های Infinity Guard(1) است که به محافظت از داده های حساس، از جمله در محیط های مجازی، کمک می کند. رمزگذاری حافظه امن (SME) حافظه سیستم دستگاه فلزی لخت را رمزگذاری می کند. مجازی سازی امن رمزگذاری شده (SEV)(2)، به جداسازی ماشینهای مجازی منفرد کمک میکند زیرا پردازنده امن AMD کلیدهای منحصربهفردی تولید میکند که برای رمزگذاری حافظه مهمان استفاده میشوند. حالت رمزگذاری شده SEV (SEV-ES) با رمزگذاری محتویات ثبت CPU، یک لایه امنیتی اضافی اضافه می کند. صفحهبندی تودرتو ایمن SEV (SEV-SNP) با ارائه قابلیتهای حفاظت از یکپارچگی برای حافظه مهمان، دوباره دفاع را گسترش میدهد. این فناوریها با هم کار میکنند تا در برابر مهاجمی که خواندن یا نوشتن غیرمجاز در حافظه، رجیسترها یا حافظه پنهان ماشین مجازی انجام میدهد، دفاع کنند.
منابع
- ویژگی های AMD Infinity Guard بسته به نسل های پردازنده EPYC™ متفاوت است. ویژگیهای امنیتی Infinity Guard باید توسط OEMهای سرور و/یا ارائهدهندگان خدمات ابری فعال شوند. برای تأیید پشتیبانی از این ویژگی ها، با OEM یا ارائه دهنده خود تماس بگیرید. درباره Infinity Guard در https://www.amd.com/en/technologies/infinity-guard بیشتر بیاموزید. GD-183
- برای اطلاعات بیشتر به https://developer.amd.com/sev/ مراجعه کنید.
همه توزیعهای اصلی Linux® از SEV پشتیبانی میکنند
تعاملات اکوسیستم اضافی
امنیت اغلب به قیمت عملکرد است. زمان بیشتری برای باز کردن قفل درب نسبت به عبور از یک در باز نیاز دارد. فعال کردن ویژگیهای امنیتی در پردازندههای AMD EPYC تنها یک سربار اضافی کوچک را ایجاد میکند. در اینجا یک مثال عالی است. این ویژگی ها در سطوح بایوس، هایپروایزر و سیستم عامل مهمان فعال هستند. هیچ تغییری برای برنامه های فردی شما لازم نیست.
شبکههای قدیمی را بهعنوان یک خانه تکخانوادهای در نظر بگیرید که در آن تنها افراد کمی کلید دارند و در آن تعداد زیادی در و پنجره وجود دارد. محیطهای ابری شبیه یک ساختمان آپارتمانی است که کاربری زمین متراکمتر و انعطافپذیرتر را ارائه میکند، اما درها، پنجرهها و افراد کلیددار بیشتری دارد. حتی ممکن است شخصی از یک آپارتمان مجاور برای جاسوسی یا سرقت از همسایه استفاده کند. ما می دانیم که هنگام خروج از خانه باید درهای خود را قفل کنیم، اما چند نفر از ما نگران امنیت داخل خانه خود هستیم؟
AMD با سهامداران در اکوسیستم بزرگ و رو به رشد AMD EPYC ما کار می کند. برخی از تعاملات کلیدی ما شامل فروشندگان سیستم عامل، هایپروایزر و Cloud Service Provider (CSP) است که ویژگی های امنیتی AMD EPYC را هم در محیط های فلزی و هم در محیط های مجازی فعال می کنند.
ابر عمومی و خصوصی
محیط های ابری می توانند با پیاده سازی این توابع با استفاده از سرورهای استاندارد جایگزین گره های محاسباتی، ذخیره سازی و شبکه تخصصی پرهزینه شوند. اجرای حجم کاری در یک محیط ابری به آسانی تعریف منابع محاسباتی و ذخیره سازی مورد نیاز و نحوه اتصال آن منابع به یکدیگر و دنیای خارج است. اغلب می توانید این کار را با استفاده از چند کلیک ماوس، چند دستور ساده یا با بارگذاری یک پیکربندی موجود انجام دهید. علاوه بر این، بسیاری از بارهای کاری 24×7 اجرا نمی شوند. وقتی کار با یک ابر عمومی تمام شد، ممکن است بتوانید برای برخی یا همه آن منابع پرداخت نکنید. وقتی کار با یک ابر خصوصی تمام شد، می توانید منابع را برای استفاده توسط شخص دیگری در سازمان خود آزاد کنید.
AMD نقش رهبری را در توسعه امنیت مبتنی بر سخت افزار ایفا کرده است و ما همچنان به توسعه و ارتقای این ویژگی ها در سراسر اکوسیستم نرم افزاری ادامه می دهیم. من به گام های بزرگی که همراه با ذینفعان خود برای ایجاد یک اکوسیستم قوی برای محاسبات محرمانه برداشته ایم، افتخار می کنم.
