AMD机密计算虚拟机介绍
一、什么机密计算虚拟机
机密计算虚拟机 是一种基于硬件安全技术(如 AMD Secure Encrypted Virtualization, SEV)的虚拟化环境,旨在保护虚拟机(VM)的 运行中数据(包括内存、CPU 寄存器等)免受外部攻击或未经授权的访问,即使云服务提供商或管理员也无法窥探。
AMD 关键技术
- SEV(Secure Encrypted Virtualization):通过内存加密和密钥隔离,为每个虚拟机分配唯一密钥,确保数据在物理主机、Hypervisor 和其他虚拟机中不可见。
- SEV-ES(加密状态扩展):进一步加密 CPU 寄存器,防止通过调试接口窃取数据。
- SEV-SNP(安全嵌套分页):防止内存篡改和回滚攻击,增强完整性保护。
EPYC架构cpu上开始支持SEV
第一代 EPYC(代号 Naples,7001 系列,2017年发布)支持SEV,提供虚拟机内存加密功能;
第