研究者发现他们能从加密VM恢复数据
幸好AMD有感知力 不擦英特尔鼻子Meltdown/SpectreFraunhofer应用综合安全研究所的研究人员发表了论文,详述如何折中AMD安全加密虚拟化虚拟机
新闻对aMD有点下沉,因为它刚把Cisco加进EPYC处理器客户列表中思科今天发布EPYC密度优化CiscoUCSC4200SeriesRack服务器底盘和CiscoUCSCSCC125M5Rack服务器节点.
UCS C125M5服务器节点支持两个EPYC处理器,最多2TB内存,2PCIe3.0插槽和可选第四代CiscoUCSCisco表示比前Cisco产品多提供128%核心数、50多服务器和20多存储器目标市场指需要高密度计算者,如分析平台和云平台
SEV是什么
SEV带新EPYC服务器处理器从AMD几年来AMD在服务器上没有竞争力,Opteron服务器线落后于Intel Xeon并几乎没有市场份额
多亏高级新核心代码Zen,AMD恢复使用,现在对英特尔桌面和服务器都构成重大性能威胁EPYC线去年启动,由32个核心组成,每个核心能双线新芯片得到了HPE的大量关注和支持戴尔并阵列中位球员
EPYC的突出特征之一是SEV,设计它提供虚拟化机实时全存储加密加密解密虚拟机并存内存,锁定主机操作系统、超视像机和计算机上的任何恶意软件每一个VM都配有地址空间标识码,并加密并加CPU,每个VM都自带空间标识码
云提供商会喜欢, 这也是微软注册为EPYC客户的原因, 因为它让端商向客户保证内存和云上VM完全安全
开发
很明显安全度不高研究团队表示,他们发现并命名SEVERED(cute), 能够从客机VM恢复浅文存储数据
多次向服务发送相同资源请求同时重新绘制识别内存页时,我们用浅文本提取所有VM内存造纸向在葡萄牙波尔图举行的第11次系统安全欧洲讲习班介绍
VM存储部分数据主内存和主内存自页加密缺完整性保护
测试他们的攻击, 研究人员表示他们能检索测试服务器 全部内存2GB总计, 包括客机VM提供的数据
有一些好消息攻击者需要管理权修改服务器超视像执行SEVERE攻击,这将使损耗服务器难易防研究者认为软件对策不足以解决攻击问题,因为他们需要相当高性能管理费。
修改AMDSEV似乎不可避免 完全预防SEVERE最佳解决办法似乎是提供全功能完整性和新鲜性保护客栈除加密外,如英特尔SGX所实现的那样,他们写道
AMD发布声明
AMD安全加密虚拟化设计帮助保护虚拟机在典型操作环境中避免意外漏洞SEV提供以前虚拟环境内存无法保护的东西,是提高虚拟化安全的第一步AMD当前正与生态系统合作保护更容易利用的脆弱性,例如恶意超视像攻击,如德国研究人员最近详细描述的那些攻击。
