RAM-Verschlüsselung AMD SVE in der Google-Cloud nutzbar
Bei Googles Cloud-Servern mit AMD-Epyc-Prozessoren lässt sich der Arbeitsspeicher virtueller Maschinen nun verschlüsseln.
AMD Secure Encryption Virtualization schützt virtuelle Maschinen durch RAM-Verschlüsselung vor Datenklau.
(Bild: AMD)
Die AMD-Serverprozessoren der Baureihe Epyc können dank der Funktion Secure Virtualization Encryption (SVE) mehrere RAM-Bereiche mit unterschiedlichen Schlüsseln verschlüsseln. Diese Funktion ist nun auch bei Googles Cloud-Servern mit Epyc-Prozessoren nutzbar und soll die Sicherheit von virtuellen Maschinen (VMs) verbessern: Selbst wenn es einer Malware gelingt, das RAM im Adressbereich einer anderen VM zu lesen, stößt sie nur auf verschlüsselte Daten.
Zur 128-Bit-AES-Verschlüsselung haben die Epycs Hardware-Einheiten in den Speicher-Controllern. Die Schlüssel verwaltet der AMD Secure Processor, auch Platform Security Processor (PSP) genannt. Ein Epyc 7002 "Rome" verwaltet bis zu 511 Schlüssel.
Google nennt die Funktion "Confidential Computing". Wie Asylo, das sichere Enklaven im VM-RAM mithilfe von Intel Software Guard Extensions (SGX) einrichtet, soll SEV die Daten von Cloud-Kunden besser vor Angreifern schützen. Google bietet auch Shielded VMs an, die besonders gegen Rootkits und Bootkits abgesichert sind.
(Bild: AMD)
Sicherheitsforscher haben an Intel SGX und AMD SEV aber einiges zu bemängeln. Demnach ist SGX nicht ausreichend gegen Seitenkanalangriffe etwa vom Spectre-Typ gewappnet. AMD SEV wiederum fehlt eine Integritätsprüfung (Remote Attestation), um den sicheren Zustand eines Trusted Execution Environment (TEE) mit einer kryptografischen Zertifikatskette zu prüfen.
Confidential VMs sind ab sofort als Beta-Version auf dem Google-Cloud-Maschinentyp N2D verfügbar. Als Betriebssysteme werden derzeit Ubuntu v18.04, Ubuntu 20.04, Container Optimized OS (COS v81) und RHEL 8.2 unterstützt; folgen sollen unter anderem noch CentOS und Debian. (ciw)
