第三代AMD EPYC(霄龍)處理器的功能

在這個復(fù)雜的世界，客戶需要從流程到技術(shù)，全方位提高工作負(fù)載的安全性。AMD對安全性一直十分重視，為AMD EPYC(霄龍)處理器配備了AMD Infinity Guard[1]，它提供了一整套獨特而強(qiáng)大的現(xiàn)代安全功能，可在軟件啟動、執(zhí)行和處理關(guān)鍵數(shù)據(jù)時幫助減少潛在的攻擊面，有助于在軟件層面和系統(tǒng)層面上與行業(yè)生態(tài)系統(tǒng)合作伙伴相互協(xié)同，在帶來芯片級安全功能的同時，對系統(tǒng)性能幾乎沒有影響。

安全加密虛擬化

AMD EPYC(霄龍)處理器憑借安全加密虛擬化 (SEV)，通過使用僅為處理器所知的509個唯一加密密鑰，分別對每臺虛擬機(jī)進(jìn)行加密，以幫助保護(hù)隱私和完整性。即使惡意虛擬機(jī)找到進(jìn)入您的虛擬機(jī)內(nèi)存的方法，或者被盜用的管理程序進(jìn)入到客戶虛擬機(jī)，這也可以幫助保護(hù)數(shù)據(jù)的機(jī)密性。

安全嵌套分頁

第三代AMD EPYC(霄龍)處理器全新升級，帶來AMD安全加密虛擬化 (SEV) 技術(shù)——安全嵌套分頁 (SEV-SNP)。SEV-SNP增強(qiáng)了內(nèi)存完整性保護(hù)能力，有效防止基于管理程序的惡意攻擊，如數(shù)據(jù)重放、內(nèi)存重新映射等，從而能夠創(chuàng)建隔離的執(zhí)行環(huán)境。

安全內(nèi)存加密

如今許多安全威脅來自企業(yè)內(nèi)部。安全內(nèi)存加密 (SME) 會對數(shù)據(jù)進(jìn)行加密，以防止對主內(nèi)存完整性的攻擊(例如冷啟動攻擊)。集成到內(nèi)存通道中的高性能加密引擎有助于提高性能。所有這些都是在不修改應(yīng)用程序軟件的情況下完成的。

AMD Shadow Stack

第三代AMD EPYC(霄龍)處理器推出AMD Shadow Stack安全功能，提供硬件強(qiáng)制堆棧保護(hù)，有效防范惡意軟件攻擊。此安全功能旨在應(yīng)對諸如面向返回的編程等威脅攻擊。通過記錄返回地址以便進(jìn)行比較，確保完整性不受損害。此外AMD Shadow Stack還支持Microsoft硬件強(qiáng)制堆棧保護(hù)。

AMD安全啟動[2]

AMD安全啟動功能(或平臺安全啟動)用于防范固件高級持續(xù)性威脅。這是一種旨在提供更高安全性的縱深防御功能，以應(yīng)對日益猖獗的固件級別攻擊。AMD安全啟動通過擴(kuò)展AMD芯片級信任根來幫助保護(hù)系統(tǒng)BIOS。通過AMD安全啟動從AMD芯片級信任根到BIOS，再通過UEFI安全啟動從系統(tǒng)BIOS到操作系統(tǒng)引導(dǎo)程序，幫助系統(tǒng)建立起完整可靠的信任鏈。此功能有助于抵御試圖將惡意軟件嵌入固件的遠(yuǎn)程攻擊者。在虛擬化環(huán)境中，還可以用于加密驗證云服務(wù)器上加載的軟件堆棧。AMD相信AMD安全啟動功能帶來的強(qiáng)大防御能力能夠進(jìn)一步加強(qiáng)平臺安全防護(hù)。

[1] AMD Infinity Guard的功能隨 EPYC(霄龍)處理器的更新迭代而有所變化。Infinity Guard的安全功能必須由服務(wù)器OEM和/或云服務(wù)提供商啟用才能使用。請與OEM或提供商確認(rèn)是否支持這些功能。有關(guān)Infinity Guard 的更多信息，請訪問https://www.amd.com/zh-hans/technologies/infinity-guard。GD-183

[2] OEM啟用AMD安全啟動功能后，即授權(quán)其加密簽名BIOS代碼只能在其基于AMD安全啟動主板的平臺上運行。處理器中的一次性可編程熔斷器會將處理器綁定到OEM的固件代碼簽名密鑰。從此，該處理器只能與使用該代碼簽名密鑰的主板一起使用。

原文標(biāo)題：AMD Infinity Guard帶來先進(jìn)的芯片級安全功能

文章出處：【微信公眾號：AMD中國】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

審核編輯：湯梓紅