微軟與AMD宣布新合作以保護Azure雲端託管的更多虛擬機
微軟與AMD的合作夥伴關係,最近已經變得更加融洽。早些時候,兩家企業已經在一系列旗艦設備和服務(從遊戲主機到雲服務器芯片)的合作夥伴關係。今天,雙方又宣布了更廣泛的合作——基於AMD最新發布的EPYC 7003系列處理器,以實現更深入的Azure可信賴計算選項。
![](https://i0.wp.com/static.cnbetacdn.com/article/2021/0316/529941160ceb552.png?w=640&ssl=1)
Azure confidential computing架構圖(來自:Microsoft)
微軟首席技術官Mark Russinovich在Cloud Strategy博客中讚揚了與AMD達成的新合作,宣稱雙方關係的進一步擴展,能夠為Azure客戶帶來切實可用的機密計算選項。
更重要的是,微軟也是首家提供基於AMD 新一代EPYC 7003 系列服務器處理器+ 可信賴計算(Confidential Computing)的大型雲服務提供商。
作為現有方案(比如Azure 容器服務)的補充,新合作為打造新的機密應用程序提供了可能。且客戶無需修改任何代碼,從而極大地簡化了構建配套應用程序的過程。
作為這套解決方案的關鍵推動因素,AMD 提供了包括安全加密虛擬化、安全嵌套分頁(SEV-SNP)等在內的高級安全特性。
後者可用於創建受信任的執行環境,為虛擬機客戶提供更全面的保護,且在AMD 第三代霄龍(EPYC)處理器上得到了顯著增強。
Russinovich 補充道,基於AMP EPYC CPU 的Azure 虛擬機將以完全加密的形式來運行,且能夠生成專用的VM 加密密鑰。
同時新密鑰生成過程可大幅減少手動設置干預,對消費者和企業客戶而言都是一個巨大的吸引力。
此外Azure 將提供證明服務,在收集了正確的硬件環境線索之後,可向Azure Key Vault 提供加密信號。僅當環境處於已知狀態時,它才會安全釋放虛擬機鏡像的解密密鑰。
值得一提的是,AMD 第三代霄龍服務器CPU 還支持本地硬件用戶加密整個虛擬機,而無需重新編譯代碼,同時可利用Azure 不斷發展的配套安全措施。
最後,微軟與AMD 的擴展合作有望讓VM 在三代霄龍平台上更加安全,且不易受到Bootkit、Rootkit、以及內核級惡意軟件的攻擊。