谷歌新推出的SEV安全加密cVM虛擬機平臺有何特點？

近年來，AMD 霄龍（Epyc）系列處理器在云端服務器市場的份額也在緩慢增長。

最新消息是，谷歌計算引擎將開始提供基于 AMD 安全加密虛擬化（SEV）功能構建的機密虛擬機（cVM）。

谷歌表示，作為 N2D 系列產品的衍生版本，啟用基于 SEV 的全內存虛擬化加密方案，其性能損失幾乎可以忽略不計。

據悉，AMD 二代霄龍處理器的安全加密虛擬化功能，使得云服務提供商能夠在每個虛擬機的所有數據和內存進行加密。

其基于硬件級的動態生成、并且不可導出，從而降低了被在同一臺服務器上運行的毗鄰虛擬機進行旁路攻擊的風險。

【Google's new Confidential Virtual Machines】

此前只有當主機接管了對整個服務器的控制權時，這類計算模型才有實現的可能。但在大多數情況下，這種設想都是不切實際的。

好消息是，借助 AMD 二代霄龍處理器平臺的 SEV2 特性，從技術上來講，AMD 將允許每個系統最多創建 509 個鍵。

在發布初期，谷歌已經提供了基于 Ubuntu 18.04 / 20.04 LTS、COS v81 和 RHEL 8.2 的 cVM 可信賴虛擬機鏡像，其它操作系統的鏡像也將適時提供。

這些 cVM 已出現在虛擬化處理器（vCPU）的可用性列表上，支持硬件級的同時多線程（SMT）。遺憾的是，谷歌和 AMD 都未披露 cVM 平臺所采用的確切的 Epyc 處理器型號，僅表示它們屬于二代 Rome 家族。

從技術上來講，隨著測試版本的發布，谷歌也是業內首個提供支持 SEV 特性的云虛擬機服務商。

此外該公司正在促進利用其 Asylo 開源框架進行的機密計算，并承諾簡化部署和進一步提升性能。