За всеобщими восторгами по поводу производительности новых серверных процессоров AMD Epyc скрылись две важные функции безопасности, которые могут быть едва ли не более важными.
Это безопасное шифрование памяти (Secure Memory Encryption - SME) и безопасная шифрованная виртуализация (Secure Encrypted Virtualization – SEV).
SME обеспечивает полное шифрование памяти, хранимой в DRAM, а SEV позволяет разным виртуальным машинам иметь свой собственный уникальный ключ шифрования, и таким образом – полностью их изолировать друг от друга, а также от гипервизора операционной системы и от уровня администратора.
Эти функции основаны на связанном с контроллером памяти аппаратном процессоре шифрования, где применяется 128-битное шифрование AES.
Таким образом, память полностью шифруется, а память виртуальных машин полностью защищена в среде с несколькими пользователями. Такие возможности явно будут высоко оценены облачными провайдерами.
Остается открытым вопрос, насколько сильное падение производительности вызовет использование этих функций, ведь шифрование – серьезная по производительности задача. В то же время AMD дает возможность включать и выключать SME и SEV без перезагрузки сервера.
Конечно эти аппаратные решения не будут полезными, пока Microsoft, Citrix, Red Hat и другие дистрибутивы Linux не начнут поддерживать их. Но когда это случится AMD может вырваться вперед Intel в плане безопасности.
По материалам Network World