Die Funktion Secure Encrypted Virtualization (SEV) haben die AMD-"Epyc"-Serverprozessoren, um mehrere RAM-Adressbereiche mit jeweils eigenen Geheimwerten zu verschlüsseln. Ab der vSphere-Version 7.0 Update 1 (ESXi 7U1) kann der VMware-Hypervisor ESXi nun AMD SEV nutzen, und zwar in der erweiterten Version SEV-ES.

Der Zusatz "ES" steht für "Encrypted State" und bezeichnet die zusätzliche Verschlüsselung der internen CPU-Register: Auch wenn die zugehörige verschlüsselte virtuelle Maschine (VM) nicht mehr läuft, bleiben die Inhalte geschützt.

Erst ab der zweiten Epyc-Generation 7002 (Rome) lässt sich AMD SEV-ES nutzen. Laufende VMs werden durch AMD SEV gegeneinander abgeschottet: Wegen der unterschiedlichen AES-128-Verschlüsselung kann Malware, die aus einer VM "ausbricht", den RAM-Bereiche des Speicher einer anderen VM nicht auslesen.

(hv, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE