پردازنده های AMD EPYC™ محاسبات محرمانه را ارائه می دهند…

محیط های ابری می توانند با پیاده سازی این توابع با استفاده از سرورهای استاندارد جایگزین گره های محاسباتی، ذخیره سازی و شبکه تخصصی پرهزینه شوند. اجرای حجم کاری در یک محیط ابری به آسانی تعریف منابع محاسباتی و ذخیره سازی مورد نیاز و نحوه اتصال آن منابع به یکدیگر و دنیای خارج است. اغلب می توانید این کار را با استفاده از چند کلیک ماوس، چند دستور ساده یا با بارگذاری یک پیکربندی موجود انجام دهید. علاوه بر این، بسیاری از بارهای کاری 24×7 اجرا نمی شوند. وقتی کار با یک ابر عمومی تمام شد، ممکن است بتوانید برای برخی یا همه آن منابع پرداخت نکنید. وقتی کار با یک ابر خصوصی تمام شد، می توانید منابع را برای استفاده توسط شخص دیگری در سازمان خود آزاد کنید.

شما می‌توانید از محیط‌های مجازی‌سازی شده به یکی یا همه روش‌های زیر استفاده کنید:

• در محل: سازمان شما مالک تمام سخت افزارهایی است که محیط مجازی شما را میزبانی می کند. در این سناریو، شما از یک Hypervisor مانند VMware یا ابزاری مانند Nutanix برای ایجاد سرورهای مجازی، ذخیره سازی و شبکه استفاده خواهید کرد. این تنظیمات a نامیده می شود ابر خصوصی.
• ابر عمومی: سازمان شما منابع مورد نیاز خود را از یک ارائه دهنده خدمات ابری (CSP) مانند Google Cloud، Microsoft Azure یا Amazon AWS اجاره می کند.
• ترکیبی: ترکیبی از عمومی و خصوصی. به عنوان مثال، سازمان شما ممکن است از یک ابر خصوصی استفاده کند و به یک ابر عمومی برای رسیدگی به نیازهای افزایشی گسترش یابد.

شبکه‌های قدیمی را به‌عنوان یک خانه تک‌خانواده‌ای در نظر بگیرید که در آن تنها افراد کمی کلید دارند و در آن تعداد زیادی در و پنجره وجود دارد. محیط‌های ابری شبیه یک ساختمان آپارتمانی است که کاربری زمین متراکم‌تر و انعطاف‌پذیرتر را ارائه می‌کند، اما درها، پنجره‌ها و افراد کلیددار بیشتری دارد. حتی ممکن است شخصی از یک آپارتمان مجاور برای جاسوسی یا سرقت از همسایه استفاده کند. ما می دانیم که هنگام خروج از خانه باید درهای خود را قفل کنیم، اما چند نفر از ما نگران امنیت داخل خانه خود هستیم؟

مجازی‌سازی ذاتی این محیط‌های ابری عمومی، خصوصی و ترکیبی چند مستاجر، حافظه، حافظه پنهان و رجیسترهای هر ماشین مجازی را به طور بالقوه در برابر دسترسی‌های غیرمجاز آسیب‌پذیر می‌کند. ما مدت‌هاست که نیاز به محافظت از داده‌ها در حالت استراحت و در حال حرکت را پذیرفته‌ایم، اما حفاظت از داده‌ها در حین استفاده اخیراً به یک اولویت تبدیل شده است زیرا محیط‌های مجازی‌سازی شده عادی شده‌اند.

محاسبات محرمانه از رمزگذاری مبتنی بر سخت افزار برای کمک به محافظت از حریم خصوصی و یکپارچگی داده ها استفاده می کند. پردازنده های AMD EPYC شامل مجموعه ویژگی های Infinity Guard(1) است که به محافظت از داده های حساس، از جمله در محیط های مجازی، کمک می کند. رمزگذاری حافظه امن (SME) حافظه سیستم دستگاه فلزی لخت را رمزگذاری می کند. مجازی سازی امن رمزگذاری شده (SEV)(2)، به جداسازی ماشین‌های مجازی منفرد کمک می‌کند زیرا پردازنده امن AMD کلیدهای منحصربه‌فردی تولید می‌کند که برای رمزگذاری حافظه مهمان استفاده می‌شوند. حالت رمزگذاری شده SEV (SEV-ES) با رمزگذاری محتویات ثبت CPU، یک لایه امنیتی اضافی اضافه می کند. صفحه‌بندی تودرتو ایمن SEV (SEV-SNP) با ارائه قابلیت‌های حفاظت از یکپارچگی برای حافظه مهمان، دوباره دفاع را گسترش می‌دهد. این فناوری‌ها با هم کار می‌کنند تا در برابر مهاجمی که خواندن یا نوشتن غیرمجاز در حافظه، رجیسترها یا حافظه پنهان ماشین مجازی انجام می‌دهد، دفاع کنند.

امنیت اغلب به قیمت عملکرد است. زمان بیشتری برای باز کردن قفل درب نسبت به عبور از یک در باز نیاز دارد. فعال کردن ویژگی‌های امنیتی در پردازنده‌های AMD EPYC تنها یک سربار اضافی کوچک را ایجاد می‌کند. در اینجا یک مثال عالی است. این ویژگی ها در سطوح بایوس، هایپروایزر و سیستم عامل مهمان فعال هستند. هیچ تغییری برای برنامه های فردی شما لازم نیست.

AMD با سهامداران در اکوسیستم بزرگ و رو به رشد AMD EPYC ما کار می کند. برخی از تعاملات کلیدی ما شامل فروشندگان سیستم عامل، هایپروایزر و Cloud Service Provider (CSP) است که ویژگی های امنیتی AMD EPYC را هم در محیط های فلزی و هم در محیط های مجازی فعال می کنند.

ابر عمومی و خصوصی

ما خوشحالیم که با CSP های پیشرو و راه حل های مجازی سازی، از جمله:

• Google Cloud*: ماشین های مجازی محرمانه گوگل و گره های GKE محرمانه، مجازی سازی رمزگذاری شده امن AMD را فعال می کنند تا به ارائه محاسبات محرمانه برای ابر کمک کند.
• IBM*: بررسی نحوه اعمال رمزگذاری ماشین مجازی (VM) بر روی پلتفرم کانتینر OpenShift Red Hat® (OCP) و Kubernetes از طریق گزینه های مجازی سازی حجم کاری ارائه شده توسط KubeVirt و Kata Containers.
• Microsoft® Azure®*: با استفاده از زیرساخت‌ها و سرویس‌های محاسباتی محرمانه Azure، به حفظ امنیت داده‌های حیاتی کسب‌وکارتان در حین استفاده کمک کنید.
• نوتانیکس*: Nutanix از SEV در AOS پشتیبانی می کند. AMD و Nutanix در حال کار برای فعال کردن SEV در Hypervisor Nutanix AHV هستند.
• VMware®: VMware vSphere® 7.0 U1 و بالاتر پشتیبانی SEV-ES در سطح میزبان خارج از جعبه را برای ماشین‌های مجازی ارائه می‌کند، و vSphere 7.0 U2 این حفاظت را به کانتینرهایی که از سیستم‌عامل‌های SEV-ES پشتیبانی می‌کنند، مانند SUSE گسترش می‌دهد. 15.

پشتیبانی از سیستم عامل

همه توزیع‌های اصلی Linux® از SEV پشتیبانی می‌کنند

تعاملات اکوسیستم اضافی

انعطاف پذیری و مقیاس پذیری محیط های ابری ممکن است آنها را به انتخابی ایده آل برای نیازهای IT شما تبدیل کند. این معماری‌ها با توسعه طرح‌های جدیدتر که سربار سیستم را بیشتر کاهش می‌دهند و رویکردهای طراحی را در جایی که امنیت در اولویت است، ارائه می‌کنند، به تکامل خود ادامه می‌دهند. این ویدیو* مثال خوبی می دهد.

AMD نقش رهبری را در توسعه امنیت مبتنی بر سخت افزار ایفا کرده است و ما همچنان به توسعه و ارتقای این ویژگی ها در سراسر اکوسیستم نرم افزاری ادامه می دهیم. من به گام های بزرگی که همراه با ذینفعان خود برای ایجاد یک اکوسیستم قوی برای محاسبات محرمانه برداشته ایم، افتخار می کنم.

در وبلاگ آینده، بیشتر در مورد پشته های سیستم عامل صحبت خواهم کرد که هر یک از سه سطح فعلی (SEV، SEV-ES و SEV-SNP) ویژگی های امنیتی مبتنی بر CPU AMD EPYC را فعال می کنند. همچنین با ادامه سال 2022، اخبار هیجان انگیزی برای به اشتراک گذاشتن خواهم داشت. گوش به زنگ باشید!

Raghu Nambiar معاون شرکتی اکوسیستم ها و راه حل های مرکز داده برای AMD است. پست های او نظرات خودش است و ممکن است مواضع، استراتژی ها یا نظرات AMD را نشان ندهد. پیوندها به سایت‌های شخص ثالث برای سهولت ارائه می‌شوند و AMD هیچ مسئولیتی در قبال محتویات این سایت‌های لینک‌شده ندارد و هیچ‌گونه تاییدیه‌ای ندارد.

منابع

1. ویژگی های AMD Infinity Guard بسته به نسل های پردازنده EPYC™ متفاوت است. ویژگی‌های امنیتی Infinity Guard باید توسط OEM‌های سرور و/یا ارائه‌دهندگان خدمات ابری فعال شوند. برای تأیید پشتیبانی از این ویژگی ها، با OEM یا ارائه دهنده خود تماس بگیرید. درباره Infinity Guard در https://www.amd.com/en/technologies/infinity-guard بیشتر بیاموزید. GD-183
2. برای اطلاعات بیشتر به https://developer.amd.com/sev/ مراجعه کنید.

*لینک‌های سایت‌های شخص ثالث برای سهولت ارائه شده‌اند و AMD هیچ مسئولیتی در قبال محتویات این سایت‌های لینک‌شده ندارد و هیچ‌گونه تاییدیه‌ای ندارد، مگر اینکه صریحاً ذکر شده باشد.