Azure Confidential Computing mit AMD VMs

Publiziert am 28. November 2021 von Günter Born

[English]Microsoft hat eine ersten Preview von Azure DCasv5/ECasv5 (vertraulichen virtuellen Maschinen mit AMD SEV-SNP VM-Isolation) veröffentlicht, die die von AMD EPYC™ Prozessoren der dritten Generation mit SEV-SNP betrieben werden.

Anzeige

AMD SEV-SNP VM-Isolation

AMDs Secure Encrypted Virtualization (SEV) ist eine 2016 vorgestellte Technologie, um den Speicher virtueller Maschinen zu verschlüsseln. AMD hat hier ein White-Paper (PDF) veröffentlicht. Damit soll die virtuelle Maschine (VM) vom Hypervisor isoliert werden. Später kam dann noch SEV-SNP (SNP steht für Secure Nested Paging) hinzu. Diese AMD-Seite hält noch eine Übersicht bereit.

Azure mit AMD SEV-SNP

Die Tage bin ich über Twitter auf die Ankündigung Microsofts mit dem Thema Expanding Azure Confidential Computing with new AMD-based confidential VMs durch Mark Russinovich gestoßen.

In einem Techcommunity-Beitrag kündigt Microsoft die öffentliche Vorschau (Preview) von Azure DCasv5/ECasv5 vertraulichen virtuellen Maschinen (VMs) an, die von AMD EPYC™ Prozessoren der 3. Generation mit SEV-SNP basieren. Microsoft schreibt, dass diese neuen VMs eine einfache Möglichkeit zur Bereitstellung vertraulicher Workloads bieten, und das, ohne dass Änderungen an bestehenden Anwendungen oder Code erforderlich sind.

Die Workloads werden auf derselben Hardwarekonfiguration wie virtuelle Maschinen für allgemeine Zwecke aktiviert und bieten Leistungsmerkmale, die es den Kunden ermöglichen, allgemeine Arbeitslasten auszuführen und gleichzeitig die gewünschten Vertraulichkeits- und Leistungsanforderungen zu erfüllen. AMD hat kürzlich verschiedene Benchmarks dieser vertraulichen Azure-VMs veröffentlicht. Microsoft schreibt:

Die neuen AMD-basierten vertraulichen VMs von Azure sind so konzipiert, dass sie nicht nur die Vertraulichkeit zwischen verschiedenen Cloud-Kunden, sondern auch zwischen Kunden und der Cloud selbst gewährleisten.

Diese hardwareverschlüsselten virtuellen Maschinen verfügen über eine integritätsgeschützte Vollstatusverschlüsselung und erweiterte Hardwaresicherheit, die auf der fortschrittlichen AMD-Sicherheitsfunktion Secure Encrypted Virtualization (SEV) und insbesondere Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) basiert.

Mit den Techniken schützt AMD SEV-SNP den Gast, indem es dem Hypervisor und anderen Host-Verwaltungscodes den Zugriff auf VM-Speicher und -Status verweigert und so vor dem Zugriff von Cloud-Betreibern schützt. In Kombination mit der Azure-Vollfestplattenverschlüsselung und Azure Managed HSM werden Kundencode und -daten während der Nutzung, bei der Übertragung und im Ruhezustand mit Verschlüsselungsschlüsseln verschlüsselt, die geschützt sind und vom Kunden kontrolliert werden können. Die VM in ihrer Gesamtheit profitiert von einer starken, durch Hardware verstärkten Schutzschicht.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Azure, Cloud, Sicherheit, Virtualisierung abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.