AMD的EPYC韩国服务器加密是最新的安全系统

 服务器问题     |      2019-09-23 09:27:15

  MD 可以避免在Meltdown / Spectre漏洞中Intel之以鼻,这是一件好事,因为这将使它重新获得回报:德国弗劳恩霍夫应用与集成安全研究所的研究人员发表了一篇论文,详细介绍了如何破坏通过AMD安全加密虚拟化(SEV)加密的虚拟机。

  对于AMD来说,这个消息有点令人沮丧,因为它刚刚将思科添加到了EPYC处理器的客户列表中。思科今天宣布计划在密度优化的思科UCS C4200系列机架式韩国服务器机箱和思科UCS C125 M5机架式服务器节点中使用EPYC。

  [现在看什么是量子计算[以及企业为什么要关心它。]

  UCS C125 M5机架韩国服务器节点最多支持两个EPYC处理器,高达2TB的内存,两个PCIe 3.0插槽以及一个可选的第四代Cisco UCS VIC,以实现完全的可编程性。思科表示,与以前的思科产品相比,每个机架可提供128%的内核,50台服务器和20多个存储。它的目标市场是需要高密度计算的任何人,例如分析和云平台。

  什么是SEV?

  SEV随附AMD 的新型EPYC服务器处理器。多年来,AMD在服务器上一直没有竞争力,其Opteron服务器产品线落后于Intel Xeon,几乎没有市场份额。

  但是,由于有了代号为Zen的高级新内核,AMD得到了振兴,现在对台式机和服务器上的英特尔构成了严重的性能威胁。去年推出的EPYC系列产品具有多达32个内核,每个内核能够支持两个线程。这些新芯片在HPE,Dell 和Cray等公司中得到了很多关注和支持。

  SEV是EPYC的显着特征之一,它的独特之处在于它可以在虚拟机上提供实时的全内存加密。它可以在RAM中动态地加密和解密虚拟机,从而锁定主机操作系统,系统管理程序和计算机上的所有恶意软件。每个VM都分配有一个地址空间ID,该地址空间ID在CPU上进行了加密,并且每个VM都有自己的空间ID密钥。

  这就是云提供商想要的东西,这就是Microsoft签约成为EPYC客户的原因,因为它使提供商可以向客户保证,即使在移动VM的情况下,驻留在其云中的内存和VM也可以在多租户环境中得到完全保护。从一台服务器到另一台服务器。

  漏洞利用

  好吧,显然不是那么安全。研究团队说,他们发现的漏洞被称为SEVered(可爱),能够从与受到攻击的VM在同一服务器上运行的来宾VM中恢复纯文本内存数据。

  研究人员在第11届欧洲系统安全性研讨会上发表的论文中说:“通过重复向服务发送对相同资源的请求,同时重新映射已标识的内存页面,我们以纯文本方式提取了所有VM的内存。” ,在葡萄牙波尔图举行。

  该攻击之所以奏效,是因为VM将其某些数据存储在主RAM内存中,并且“主内存的分页加密缺乏完整性保护”。这使攻击者可以映射出所有内存,然后请求其他附近VM不能使用的部分。

  在测试攻击时,研究人员表示,他们能够检索测试服务器的全部内存内容,总计2GB,包括来自来宾VM的数据。

  不过,有一些好消息。攻击者需要管理员权限才能修改服务器的虚拟机监控程序,以进行SEVered攻击,这将使威胁韩国服务器变得更加困难且更容易防御。但是,研究人员认为基于软件的对策不足以抵抗攻击,因为它们需要大量的性能开销。

  “因此,对AMD SEV进行修改似乎不可避免地要完全阻止SEVered。最好的解决方案似乎是为来宾页提供全功能的完整性和新鲜度保护,这是在加密技术之外实现的,这是在英特尔SGX中实现的,”他们写道。

  AMD发表此声明:

  AMD的安全加密虚拟化(SEV)旨在帮助保护虚拟机免受典型操作环境中的意外漏洞的影响。SEV提供了虚拟环境中以前无法使用的内存保护,这是提高虚拟化安全性的第一步。AMD目前正在与生态系统合作,以防御更难以利用的漏洞,例如德国研究人员最近详细介绍的恶意管理程序攻击。