AMD+谷歌輕松搞定運(yùn)行中數(shù)據(jù)加密

2020年，AMD迎來了跨越式增長，最新財(cái)報(bào)顯示，2020年第二季度AMD營業(yè)額為19.3億美元，同比增長26%。

AMD總裁兼首席執(zhí)行官蘇姿豐博士（Dr. Lisa Su）表示：“AMD第二季度的表現(xiàn)非常強(qiáng)勁，筆記本和服務(wù)器處理器銷售即銳龍和EPYC（霄龍）的營業(yè)額比去年同期增加了超過一倍?！?/p>

與此同時，AMD在云、企業(yè)級和高性能計(jì)算解決方案方面贏得了更多訂單，第二代AMD EPYC（霄龍）處理器繼續(xù)在數(shù)據(jù)中心加速部署。包括谷歌、AWS、Oracle、NVIDIA等巨頭都與AMD展開了廣泛的合作。

在云計(jì)算與安全方面，谷歌云更是依托于第二代AMD EPYC（霄龍）處理器，在云端安全方面有了新突破，在基于第二代AMD EPYC（霄龍）處理器的谷歌計(jì)算引擎上，利用EPYC處理器的安全功能上線了機(jī)密虛擬機(jī)（VMs）的測試版，實(shí)現(xiàn)了云端加密、更大容量的虛擬機(jī)以及更高的性能。

被譽(yù)為“互聯(lián)網(wǎng)之父”的谷歌副總裁兼首席互聯(lián)網(wǎng)顧問Vint Cerf表示：“借助AMD EPYC處理器中先進(jìn)的安全技術(shù)，我們創(chuàng)造了突破性的技術(shù)，使客戶能夠加密云端正在處理中的數(shù)據(jù)，并解鎖此前無法實(shí)現(xiàn)的計(jì)算場景?！?/p>

簡單說，谷歌的機(jī)密虛擬機(jī)帶來了如下特性：

? 實(shí)時加密正在使用的數(shù)據(jù)：谷歌云客戶可利用第二代AMD EPYC處理器的領(lǐng)先安全功能以及機(jī)密計(jì)算云服務(wù)對使用中的數(shù)據(jù)進(jìn)行加密，從而實(shí)現(xiàn)云數(shù)據(jù)保護(hù)等級的突破。

? 高性能虛擬機(jī)：機(jī)密虛擬機(jī)提供了與基于高性能第二代AMD EPYC處理器的谷歌N2D虛擬機(jī)類似的性能。

? 安全加密虛擬化 （SEV）：AMD EPYC處理器提供的領(lǐng)先安全功能，由嵌入式安全處理器生成和管理的每個虛擬機(jī)專有的密鑰，對虛擬機(jī)內(nèi)存進(jìn)行加密。

? “直接遷移的機(jī)密性”：AMD和谷歌簡化了機(jī)密計(jì)算的使用，客戶無需對其應(yīng)用進(jìn)行任何代碼更改即可無縫向機(jī)密虛擬機(jī)遷移，從而受益。

Google Cloud借助AMD EPYC實(shí)現(xiàn)云端加密

云端安全一直都是企業(yè)級用戶關(guān)注的重中之重，畢竟大量的用戶數(shù)據(jù)都在云端，一旦出現(xiàn)安全事件，那么對用戶而言很有可能面臨的就是“滅頂之災(zāi)”。

一般來講，云服務(wù)商會對用戶在云端硬盤上的數(shù)據(jù)進(jìn)行加密，防止數(shù)據(jù)泄露或被刪改。但運(yùn)行在虛擬機(jī)上的數(shù)據(jù)卻遠(yuǎn)沒有那么安全。

幾乎所有的用戶都會用到虛擬機(jī)，因?yàn)槠淇梢愿玫卣{(diào)配資源，彈性擴(kuò)容，并為用戶降低成本。但虛擬機(jī)在運(yùn)行過程中，有很大一部分?jǐn)?shù)據(jù)都置于內(nèi)存之中，因此傳統(tǒng)技術(shù)很難對其進(jìn)行加密操作。但某些窺探程序卻可以訪問內(nèi)存，這就對正在運(yùn)行中的數(shù)據(jù)有了被竊取的風(fēng)險。

谷歌云的機(jī)密虛擬機(jī)解決的就是這些問題，也成為了業(yè)界首款虛擬機(jī)加密服務(wù)?；谠诠雀栌?jì)算引擎上的N2D虛擬機(jī)系列，機(jī)密虛擬機(jī)為客戶要求最嚴(yán)苛的計(jì)算任務(wù)提供了高性能處理，并且可以對云端正在處理的最敏感的數(shù)據(jù)進(jìn)行加密。

據(jù)Google Cloud高級產(chǎn)品經(jīng)理Nelly Porter介紹，新的基礎(chǔ)架構(gòu)讓黑客無法竊聽?wèi)?yīng)用程序在做什么，除了在應(yīng)用程序處理數(shù)據(jù)時提供加密之外，還提供了其他安全功能。

例如，當(dāng)服務(wù)器關(guān)閉電源后，依然會出現(xiàn)黑客或惡意內(nèi)部人員訪問物理硬件的問題，但數(shù)據(jù)仍處于加密狀態(tài)，即使被拆掉硬盤也無計(jì)可施。

因此，緩解的不僅是軟件攻擊，還包括物理訪問攻擊。Porter指出：“甚至Google本身也無法窺探機(jī)器內(nèi)部并查看數(shù)據(jù)。我們看到的越少，對每個用戶就越好?！?/p>

實(shí)現(xiàn)云端加密的原理也相對“簡單”一些，那就是基于第二代AMD EPYC（霄龍）處理器的新安全特性，這可是其他處理器廠商目前還沒法實(shí)現(xiàn)的喲！

AMD EPYC處理器提供的安全功能，由嵌入式安全處理器生成和管理的每個虛擬機(jī)專有的密鑰，對虛擬機(jī)內(nèi)存進(jìn)行加密。機(jī)密虛擬機(jī)提供了與基于AMD EPYC處理器的谷歌N2D虛擬機(jī)類似的性能。也就是說，加密所占的系統(tǒng)資源非常少，在大部分應(yīng)用場景下都不會影響虛擬機(jī)性能。

更大容量虛擬機(jī)滿足客戶新需求

在安全方面，英特爾SGX可以將程序以外的software stack如OS和BIOS都排除在了TCB（Trusted Computing Base）以外，從而構(gòu)建一個“安全區(qū)域”，防止底層硬件及OS被攻擊。

從表面上看英特爾SGX能夠?yàn)橛脩籼峁┮粋€相對安全的運(yùn)行環(huán)境，但在云服務(wù)商實(shí)際操作過程中卻展現(xiàn)出了一些弊端。最主要的一點(diǎn)就是：這個特性僅適用于工作站，而非企業(yè)級的服務(wù)器，而且其安全區(qū)域內(nèi)最多僅可容納92 MB的內(nèi)存，這使得平臺運(yùn)行應(yīng)用程序變得困難。對企業(yè)級用戶而言，可用性不高。

在18個月之前，谷歌為用戶和開發(fā)者提供了SDK，希望能夠幫助用戶解決SGX所帶來的問題。但這一切實(shí)際操作起來卻是很難，主要還是受限于92 MB存儲空間，讓很多應(yīng)用都必須進(jìn)行修改。為了兼容92MB存儲空間，應(yīng)用程序必須修改成每次處理少量數(shù)據(jù)，多次進(jìn)行。

但當(dāng)Google Cloud嘗試應(yīng)用第二代AMD EPYC服務(wù)器時，這些問題竟然得以解決！英特爾SGX的最高存儲容量為92MB，而AMD芯片則沒有實(shí)際限制。這意味著Google Cloud最大的虛擬機(jī)上的容量高達(dá)896 GB。

Nelly Porter表示，第二代AMD EPYC處理器解決了性能、延遲和可擴(kuò)展性問題。由于內(nèi)存不再是問題，因此客戶可以輕松運(yùn)行現(xiàn)有的應(yīng)用程序，用戶的應(yīng)用程序再也不必進(jìn)行重構(gòu)。

“英特爾雖然率先提出了解決這些問題的技術(shù)，但AMD卻徹底解決了它”Nelly Porter這樣評價。

輕松搞定加密虛擬機(jī)遷移

AMD和谷歌簡化了機(jī)密計(jì)算的使用，客戶無需對其應(yīng)用進(jìn)行任何代碼更改即可無縫向機(jī)密虛擬機(jī)遷移，從而受益。

對于企業(yè)級用戶而言，如果為了適應(yīng)加密而去修改自己的應(yīng)用程序，那么過程將非常痛苦。因?yàn)閷?shí)際操作過程中還需要考慮到性能、可用性、規(guī)?；约昂罄m(xù)優(yōu)化。因此，相比之下第二代AMD EPYC服務(wù)器則可以完美解決這些問題，不再讓應(yīng)用受限。

Google Cloud是第一個使用第二代AMD EPYC平臺提供運(yùn)行時加密產(chǎn)品的公司，憑借其更高的加密性能表現(xiàn)，該芯片已在數(shù)據(jù)中心領(lǐng)域獲得了廣泛的關(guān)注。