Функции безопасности в AMD Epyc
За всеобщими восторгами по поводу производительности новых серверных процессоров AMD Epyc скрылись две важные функции безопасности, которые могут быть едва ли не более важными.
Это безопасное шифрование памяти (Secure Memory Encryption - SME) и безопасная шифрованная виртуализация (Secure Encrypted Virtualization – SEV).
SME обеспечивает полное шифрование памяти, хранимой в DRAM, а SEV позволяет разным виртуальным машинам иметь свой собственный уникальный ключ шифрования, и таким образом – полностью их изолировать друг от друга, а также от гипервизора операционной системы и от уровня администратора.
Эти функции основаны на связанном с контроллером памяти аппаратном процессоре шифрования, где применяется 128-битное шифрование AES.
Таким образом, память полностью шифруется, а память виртуальных машин полностью защищена в среде с несколькими пользователями. Такие возможности явно будут высоко оценены облачными провайдерами.
Остается открытым вопрос, насколько сильное падение производительности вызовет использование этих функций, ведь шифрование – серьезная по производительности задача. В то же время AMD дает возможность включать и выключать SME и SEV без перезагрузки сервера.
Конечно эти аппаратные решения не будут полезными, пока Microsoft, Citrix, Red Hat и другие дистрибутивы Linux не начнут поддерживать их. Но когда это случится AMD может вырваться вперед Intel в плане безопасности.
По материалам Network World
