安全虚拟化SEV简单介绍

最新推荐文章于 2024-02-25 18:14:22 发布
最新推荐文章于 2024-02-25 18:14:22 发布
阅读量5.1k 收藏 13
点赞数 1
分类专栏: 虚拟化 文章标签: 云计算 安全 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/artine/article/details/105183369
版权
AMD的SEV(Secure Encrypted Virtualization)技术为虚拟机内存提供加密保护,防止物理攻击和跨虚拟机、Hypervisor的攻击。SEV基于SVM(Secure Virtual Machine)和SME(Secure Memory Encryption),利用内存控制器的加密模块,通过ASID和C-bit标记内存页的加密状态。PSP(Platform Secure Processor)在启动时配置和管理虚拟机的加密密钥,确保数据安全。
摘要由CSDN通过智能技术生成

安全虚拟化SEV简单介绍

什么是SEV

SEV是由AMD提出的安全虚拟化Secure Encrypted Virtualization技术的英文首字母的缩写。简单来说就是主内存控制器具备了加密功能可以对虚拟机内存数据进行保护。在真正介绍SEV之前,我们首先要弄清楚两个关键的基本概念:SVM、SME。下面先简单了解一下SVM和SME。

什么是SVM

SVM即AMD Secure Virtual Machine的缩写。这是由AMD提供的虚拟化技术,用来X86上支持基于硬件的虚拟化技术,通过硬件提供的辅助加速功能,可以有效提高虚拟化性能。Intel也提供了与之对应的虚拟机技术及VT-x。
为了支持虚拟化技术,AMD虚拟机框架做了以下设计:

  1. 提供VMM(即Hypervisor)和Guest(即虚拟机)之间的快速切换机制。
  2. 拦截虚拟机中特定指令和事件的能力。
  3. 对内存提供外部(DMA)访保护。
  4. 辅助中断处理和虚拟中断(Virtual Interrupt)支持。
  5. 对属于Guest和Host(宿主机)的TLB使用标签来减少虚拟化的开销。

关于SVM技术的更多细节本文不展开介绍,有兴趣的同学可以查看AMD APM卷二的第15章。这里对上面列出的五项内容稍微说明一下:

  1. 硬件虚拟化,简单点说就是虚拟机的代码指令能够在宿主机上运行直接运行,无需进行软件转换或者翻译。但是,硬件(主要是CPU)需要维护Hypervisor和Guest的运行上下文环境,确保互相不产生影响。因此,AMD提供了一组虚拟化相关的指令(如VMRUN、
最低0.47元/天 解锁文章
artine
关注
专栏目录
【机密计算-大厂有话说】AMD
最是书香能致远,腹有诗书气自华
08-07 823
VirTEE/sev 工具箱提供了一套基于 rust 语言的简单易用的 API 来访问 AMD EPYC 处理器内的安全处理器,这个库已经早已经支持传统的 SEV 固件,最近在 VirTEE 社区中又增加了新的 SEV-SNP 固件的支持,主要是第三代和新上市的 AMD EPYC 处理器。平台所有者:管理用来部署虚拟机、容器系统软件,比如主机或者云服务商。这些系软件主要指的是运行机密虚拟机、机器容器的虚拟机监视器 hypervisor。来宾所有者:指的是部署工作负载者。
virtCCA: Virtualized Arm Confidential Compute Architecture with TrustZone
最新发布
baron-周贺贺-代码改变世界ctw
08-01 146
ARM最近推出了机密计算架构(CCA),作为即将发布的ARMv9-A架构的一部分。CCA支持在一个名为Realm世界的独立世界中运行机密虚拟机(cVMs),从而保护其免受不可信的普通世界的影响。尽管CCA为机密计算提供了一个有前景的未来,但根据ARM的路线图,CCA硬件在近期内不太可能广泛可用。为了解决这个问题,我们提出了virtCCA,这是一种利用TrustZone的虚拟化CCA架构,该架构是现有ARM平台上成熟的硬件特性。
AMD SEV基本原理
Take Easy,Work Hard!
01-11 2223
介绍AMD的机密解决方案SEV的硬件基础和软件API
360虚拟化安全
07-15
360新一化虚拟化安全文档,详细的虚拟化安装步骤,使用过程
谈谈虚拟化及其安全
weixin_33795806的博客
09-07 1402
虚拟化是硬件和软件工程的协作,以创建虚拟机(VM)。这被认为是计算机硬件的抽象化,使单个物理机能够当作多个机器运行。没有虚拟机,单个操作系统将会占用所有的硬件资源,但是随着虚拟机的部署,具有各自独立虚拟机的多个操作系统可以共享硬件。虚拟化是指创建虚拟或基于软件版本的能力,包括存储设备、虚拟计算机硬件平台和计算机网络资源。虚拟化可以大致分为三类,包括操作系...
虚拟化安全解决方案》一1.3 安全必须适应虚拟化
weixin_34265814的博客
05-02 339
本节书摘来自华章出版社《虚拟化安全解决方案》一书中的第1章,第1.3节,作者[美]戴夫·沙克尔福(Dave Shackleford),更多章节内容可以访问云栖社区“华章计算机”公众号查看 1.3 安全必须适应虚拟化 攻击几乎不独立发生。如果人们尽力保护系统,那么一个成功的系统妥协包含对多个协同攻击的权衡处理。把虚拟化特性加入基础设施引入了一个完全新的各种...
虚拟化安全虚拟化安全知识全攻略:保障云端数据安全
A1_3_9_7的博客
02-25 1854
通过虚拟化技术使不同用户的数据可以存储在物理存储上。这种方式不但可以节约存储空间,还可以进行统一管理,降低管理费用。随着虚拟化技术的大规模使用,组织机构数据中心的基础架构、运维管理等都发生重大变化,面临的安全风险也随之增加,变得更加复杂。云服务提供商通过虚拟化技术,在IaaS、PaaS和SaaS层面向用户提供云服务。云计算虚拟化安全问题集中在以下方面:(1)虚拟机跳跃和逃逸虚拟机跳跃是指借助与目标虚拟机共享同一个物理硬件的其他出以服务器,对目标虚拟机实施攻击。
AMD SEV介绍
bemind1的专栏
12-29 9011
AMD EPYC(霄龙)处理器引入了两个硬件安全组件: AES-128硬件加密引擎:嵌入在内存控制器内,用于对内存数据进行加解密。 AMD Secure Processor(AMD-SP):负责安全密钥的生成和管理。 Secure Memory Encryption (SME):AMD在DRAM的控制器中添加了加解密模块,用来控制内内存数据的加密和解密。 Secure Encrypted Virtualization (SEV) :将主内存加密功能与现有的AMD-V虚拟化体系结构来支持加密的虚拟机。
学术交流 | InForSec 2023年网络空间安全国际学术研究成果分享及青年学者论坛
aK031999的博客
03-17 2439
隐私计算研习社 InForSec定于2023年4月8日~9日(周六、日)在南方科技大学举办“InForSec 2023年网络空间安全国际学术研究成果分享及青年学者论坛”。本次学术活动将邀请在网络空间安全顶级会议上发表论文的研究者分享他们的最新研究成果,并就研究过程中的灵感、经验和体会进行深入交流。此次邀请的议题覆盖网安研究领域的诸多前沿问题,包括“软件和系统安全”“体系结构安全”“移动安全”“网络安全”“AI安全”等。主题:InForSec 2023年网络空间安全国际学术研究成果分享及青年学者论坛时间:20
"SEVA:系统工程师的虚拟助手
jpl.nasa.gov摘要系统工程师的虚拟助手(SEVA)是一个新颖的尝试,以弥合自然语言处理(NLP),知识库(KB)建设研究,和美国宇航 在这项工作中,我们提出了一个可解释的,人在循环,和互动的个人助理系统的设计。...
AMDSEV:AMD安全加密虚拟化
05-03
目录 准备虚拟机 启动SEV VM Ubuntu-18.04 准备主机操作系统 准备虚拟机 启动SEV VM openSuse-风滚草 准备主机操作系统 启动SEV VM SEV集装箱 额外资源 常问问题 我怎么知道Hypervisor是否支持SEV 我如何知道访客中是否启用了SEV 我可以使用virt-manager来启动SEV访客吗 如何增加SWIOTLB限制 virtio-blk失败,出现缓冲区不足错误 安全加密虚拟化SEVSEV是对AMD-V体系结构的扩展,该体系结构支持在KVM的控制下运行加密的虚拟机(VM)。 加密的VM的页面(代码和数据)受保护,因此只有来宾本身可以访问未加密的版本。 每个加密的VM都有一个唯一的加密密钥。 如果使用其他密钥将其数据访问其他实体,则加密的来宾数据将被错误地解密,从而导致数据难以理解。 SEV支持已在上游项目中接受。 该存
SEVered攻击:看研究人员如何破解AMD的安全加密虚拟化SEV)技术
weixin_34409741的博客
05-30 671
2017年,AMD在其最新的Zen处理器上提供了安全加密虚拟化SEV)技术,这项新技术可以让云服务器获得全程的硬件加密保护。SEV的设计目标在于服务那些不信任任何托管其虚拟机的安全敏感人士,这项技术会在虚拟机启动时进行验证,并确保其在启动前与启动期间未受到任何篡改,同时加密系统能够正常工作。 【AMD SEV安全模型】 但是,就在近日,来自德国慕尼...
虚拟化类型(配图)
qq_40741808的博客
05-19 1468
虚拟化类型 寄居虚拟化:寄居虚拟化架构指在宿主操作系统之上安装和运行虚拟化程序,依赖于宿主操作系统对设备的支持和物理资源的管理。虚拟化管理软件作为底层操作系统(Windows或Linux等)上的一个普通应用程序,然后通过其创建相应的虚拟机,共享底层服务器资源。也可以理解为在宿主操作系统之上安装和运行虚拟化程序,依赖于宿主操作系统对设备的支持和物理资源的管理。 裸金属虚拟化:裸金属虚拟化架构指直接在硬件上面安装虚拟化软件,再在其上安装操作系统和应用,依赖虚拟层内核和服务器控制台进行管理。Hyperv
【TEE】【AMD SEV-SNP 白皮书】通过完整性保护加强VM隔离
qq_43543209的博客
01-17 2203
2016年,AMD推出了第一个x86技术- -安全加密虚拟化( Secure Encrypted VirtualizationSEV ),旨在将虚拟机与虚拟机管理程序隔离。虽然虚拟机管理程序在传统上是虚拟化安全模型中的可信组件,但许多市场可以从不同的VM信任模型中获益。例如,在云中,客户可能希望基于VM的工作负载免受云管理员的损害,以保持数据机密性,并尽量减少暴露在云提供商的基础设施中的缺陷。这就导致了在硬件级别上将 “虚拟机” 与 “虚拟机管理程序和可能在物理服务器上共存的其他代码” 隔离的需求。
宏碁电脑开启虚拟化技术_攻略丨模拟器开启畅玩之旅必备,开启VT
weixin_39672160的博客
11-18 7537
进入BIOS 设置简单 流程CPU是Intel(英特尔)的,虚拟化技术即VT 选项 Intel Virtualization TechnologyCPU是AMD的,虚拟化技术即SVM。SVM,全称是Secure Virtual Machine mode简单操作流程在BIOS设置中 如果 没有看到鼠标,按键盘“←”,“→”,“↑”,“↓”切换选项,按“Enter”选中;(新BIOS支持鼠标...
window10华硕计算机主板VT,华硕电脑主板开启VT虚拟化方法详解
热门推荐
weixin_35820008的博客
07-15 1万+
华硕电脑或主板怎样开启VT虚拟化呢?VT(Virtualization Technology)是一种虚拟化技术,允许一个平台同时运行多个操作系统,从而显著提高计算机的工作效率,本身对电脑不会有任何负面影响,开启VT将可模拟器的性能提升10倍以上!第一步,重启电脑,进入BIOS屏幕亮起后不断按下“Del”或者”F2“键进入BIOS页面,开机速度太快无法进入BIOS怎么办?第二步,在菜单中找到VT选...
kvm随笔系列四:AMD SVM
wanthelping的博客
10-31 5146
在qeum/kvm系列文章中分析了Intel VT的实现框架, 这里对AMD的虚拟化技术框架做一个对比性的小结。
java框架 - Servlet基础框架
zs1972551648的博客
05-03 5703
一,servlet定义 Servlet(Server Applet)是JavaServlet的简称,称为服务器端小程序、小服务程序或服务连接器,是一种使用 Java 语言来开发动态网站的技术(用Java编写的服务器端程序),具有独立于平台和协议的特性,Servlet是sun公司提供的一门用于开发动态web资源的技术。Sun公司在其API中提供了一个servlet接口,用户若想用发一个动态web资源(即开发一个Java程序向浏览器输出数据),需要完成以下2个步骤: 1、编写...
【TEE】AMD SEV- SNP和Intel TDX的概述
qq_43543209的博客
01-18 1661
如今,软件公司越来越多地将其应用程序迁移到云环境中,而不是在本地托管它们。这可能会对机密的用户数据构成风险,因为云服务提供商( CSP )可以直接访问运行潜在安全关键应用程序的硬件。TEE提供了一种安全执行代码的方法,而不存在敏感数据被披露给恶意行为者的风险。SGX的工作方式是将应用程序划分为一个由飞地安全保护的可信部分和一个正常运行的不可信部分。这降低了开发体验,因为开发人员需要了解安全模型并相应地拆分应用程序,而保护VM不需要调整应用程序代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值