微软与AMD宣布合作保护Azure云端托管的更多虚拟机

waffle

稿源：cnBeta

微软与 AMD 的合作伙伴关系，最近已经变得更加融洽。早些时候，两家企业已经在一系列旗舰设备和服务（从游戏主机到云服务器芯片）的合作伙伴关系。今天，双方又宣布了更广泛的合作 —— 基于 AMD 最新发布的 EPYC 7003 系列处理器，以实现更深入的 Azure 可信赖计算选项。

                               
登录/注册后可看大图

Azure confidential computing 架构图（来自：Microsoft）

微软首席技术官 Mark Russinovich 在 Cloud Strategy 博客中赞扬了与 AMD 达成的新合作，宣称双方关系的进一步扩展，能够为 Azure 客户带来切实可用的机密计算选项。

更重要的是，微软也是首家提供基于 AMD 新一代 EPYC 7003 系列服务器处理器 + 可信赖计算（Confidential Computing）的大型云服务提供商。

作为现有方案（比如 Azure 容器服务）的补充，新合作为打造新的机密应用程序提供了可能。且客户无需修改任何代码，从而极大地简化了构建配套应用程序的过程。

作为这套解决方案的关键推动因素，AMD 提供了包括安全加密虚拟化、安全嵌套分页（SEV-SNP）等在内的高级安全特性。

后者可用于创建受信任的执行环境，为虚拟机客户提供更全面的保护，且在 AMD 第三代霄龙（EPYC）处理器上得到了显著增强。

Russinovich 补充道，基于 AMP EPYC CPU 的 Azure 虚拟机将以完全加密的形式来运行，且能够生成专用的 VM 加密密钥。

同时新密钥生成过程可大幅减少手动设置干预，对消费者和企业客户而言都是一个巨大的吸引力。

此外 Azure 将提供证明服务，在收集了正确的硬件环境线索之后，可向 Azure Key Vault 提供加密信号。仅当环境处于已知状态时，它才会安全释放虚拟机镜像的解密密钥。

值得一提的是，AMD 第三代霄龙服务器 CPU 还支持本地硬件用户加密整个虚拟机，而无需重新编译代码，同时可利用 Azure 不断发展的配套安全措施。

最后，微软与 AMD 的扩展合作有望让 VM 在三代霄龙平台上更加安全，且不易受到 Bootkit、Rootkit、以及内核级恶意软件的攻击。