AMD與IBM合作發展雲端機密運算服務 確保雲端運算全程安全

AMD和IBM昨日宣佈簽定一項多年合作，旨在提供雲端上的機密運算(Confidential Computing)。這議題是因應企業用戶對雲端運算資料安全性感到疑慮而興起。

AMD競爭者英特爾(Intel)很早就將觸角伸向企業雲端安全的領域。透過這項合作，AMD和IBM計畫發展出安全技術，以克服阻礙企業客戶擁抱雲端的最大因素。

AMD提供雲端時代的機密運算

雲端運算資安全性可以分成三個部份，包括資料儲存、傳送及運算三個階段。儲存和傳輸都有成熟的方案，但是資料處理時的安全性卻還令用戶憂心。這是因為當處理器存取資料時，必須移除標準的安全程序，像是加密，這就導致在處理器記憶體的資訊風險，攻擊者只要寫程式碼就可以引發記憶體洩露內容。

AMD和IBM的合作就是為了提供機密運算技術以解決這類風險。雙方宣佈將在開原碼軟體、開放標準及架構基礎上開發以推動混合雲環境的機密運算，並支援多種高效能運算(HPC)加速器、以及虛擬化和加密等關鍵企業技術。

機密運算是透過在硬體層實作OS無法存取的信賴執行環境(Trusted Execution Environment, TEE)，並加密處理器記憶體，只有獲得加密金鑰的App程式碼才能存取TEE內的資訊。

Intel的機密運算技術－SGX

英特爾也提供Software Guard Extensions (SGX)技術提供機密運算，計畫今年內推向整合Xeon處理器產品線。2018年初聲名大噪的Meltdown及Spectre等漏洞就是允許非授權程式存取處理器記憶體暫存器(register)而肇禍。除了最新推出的Xeon-E晶片外，英特爾承諾未來整個資料中心產品線都會加入SGX技術。

AMD的EPYC處理器提供Secure Encrypted Virtualization (SEV)及單系統晶片(system-on-chip, SoC)中的輔助處理器來產生資料加密金鑰。SEV是來自Sony Playstation 4及微軟Xbox One帶出的密鑰隔離，主要是防止消費者用這些主機打盜版遊戲。AMD的SEV使用Arm的安全輔助處理器(co-processor)，可支援509把加密金鑰。金鑰是由輔助處理器產生，因此虛擬運算處理器上沒有任何元件能存取。此外，使用AMD晶片，企業不需要為了和SEV相容修改作業負載，成本更低，對用戶來說也更具吸引力。

來源：wccftech