VMware nutzt AMD SEV-ES

VMware veröffentlicht die neue VMware vSphere®-Version 7.0U1, die die erweiterte Sicherheitsfunktion Secure Encrypted Virtualization-Enhanced State (SEV-ES) von AMD unterstützt. Die SEV-ES-Funktion bietet eine zusätzliche Verschlüsselungsebene und verschlüsselt alle CPU-Registerinhalte, wenn eine VM nicht mehr läuft.

Das AMD EPYC Prozessorsystem für VMware-Kunden wird zunehmend auch von Partnern wie Dell, HPE, Lenovo und Supermicro unterstützt, die kürzlich AMD EPYC-Prozessoren der zweiten Generation für ihre HCI-Lösungen ausgewählt haben. AMD EPYC betreibt zurzeitDell EMC VxRail™ HCI Lösungen der E-Serie und Dell EMC vSAN Ready Nodes, HPE ProLiant DL325 und DL385 Gen10 und Gen10 Plus Server, die vSAN ReadyNode™ zertifiziert sind, Lenovo ThinkSystem Single- und Dual-Socket-Server, die VMware vSAN ReadyNode™ zertifiziert sind und Supermicro Dual Socket vSAN ReadyNode™ zertifizierte Server.

Raghu Nambiar, Corporate Vice President & CTO AMD, schildert weitere Details: Eine der Hauptüberlegungen beim Design der AMD EPYC-Prozessoren ist die Bereitstellung fortschrittlicher hardwareaktivierter Sicherheitsfunktionen. Wenn Kunden den gesamten Systemspeicher schützen möchten, dann kann AMD Secure Memory Encryption (SME) den Systemspeicher mit einem einzigen Schlüssel verschlüsseln. Es ist so einfach wie das Aktivieren eines BIOS-Parameters.

In einer Multi-Tenant-Umgebung isoliert AMD Secure Encrypted Virtualization (SEV) virtuelle Maschinen voneinander und vom Hypervisor. AMD Secure Encrypted Virtualization with Encrypted State (SEV-ES) erweitert den Schutz auf die CPU-Register, deren Inhalt verschlüsselt wird, wenn eine virtuelle Maschine nicht mehr läuft.

SME, SEV und SEV-ES sind Teil des AMD Infinity Guardportfolios. Die VM-Sicherheitsfunktionen erfordern die Aktivierung im Gastbetriebssystem und Hypervisor. Es ist sehr wichtig zu beachten, dass die Secure Encrypted Virtualization von AMD zum Schutz aller auf der virtuellen Maschine laufenden Anwendungen beiträgt, es sind keine Code-Änderungen oder Neukompilierung der Anwendung erforderlich. Wenn eine Kundenanwendung auf einem System mit aktiviertem SEV läuft, können sie die Vorteile dieser Sicherheitsfunktionen nutzen.

AMD und VMware haben zusammengearbeitet, um SEV und SEV-ES auf vSphere zu ermöglichen, und wir freuen uns, dass es in vSphere 7.0U1 verfügbar ist. vSphere 7 ist die größte Version von vSphere seit über einem Jahrzehnt und bietet mehrere Innovationen, darunter die Unterstützung der verschlüsselten Virtualisierungstechnologie von AMD. Wenn Sie daran interessiert sind, mehr über AMD Secure Encrypted Virtualization (SEV) auf VMware ESXi zu erfahren, besuchen Sie bitte das On-Demand-Panel VMware & AMD VMworld mit Lee Caswell, Rich Brunner, David Dunn und Robert Gomer.

Wir verstehen die Herausforderungen, die mit der Bereitstellung neuer Technologien verbunden sind. Daher haben wir einen durchgehenden Konfigurationsleitfaden erstellt, der zeigt, wie eine vertrauliche Computerumgebung mit vSphere eingerichtet wird. Der Konfigurationsleitfaden enthält schrittweise Anleitungen zum Aufbau vertraulicher virtueller Computer auf der Grundlage des Linux-Betriebssystems. Die im Leitfaden beschriebene Konfiguration kann unverändert bereitgestellt oder als Grundlage für benutzerdefinierte Konfigurationen verwendet werden, die Ihren Workload-Anforderungen entsprechen. Sie können hier auf das Blueprint für vertrauliches Computing zugreifen.

AMD EPYC-Prozessoren, entweder in Single-Socket- oder Dual-Socket-Konfigurationen, bieten VMware-Kunden einen Hochleistungsprozessor für VMware-Virtualisierungs-Workloads. Mit der Aktivierung von SEV und SEV-ES in der neuen Version von vSphere können Kunden jetzt Performance und erweiterte Sicherheitsfunktionen wählen, wenn sie AMD EPYC-basierte VMware-Lösungen verwenden.