AMD のデータセンターおよび組み込みソリューション担当上級副社長、フォレスト・ノロッド氏によると、AMD の Xbox One と PlayStation 4 への取り組みが、同社の EPYC サーバー向けの Secure Encrypted Virtualization (SEV) 機能の開発につながったとのことです。
SEV クラウド企業に必須のセキュリティ機能
Norrod 氏は、今後数年間で SEV がデータ センター企業にとって必須の機能になると考えています。
「3~4年後には、クラウドプロバイダーから暗号的にVMを制御および分離できないのであれば、クラウドにVMを展開することを検討すること自体が馬鹿げていると思う。」
AMDは、2014年に発売されたマイクロソフトのXbox OneとソニーのPlayStation 4向けのセミカスタムチップの開発に取り組んでいたときに、SEVの開発を開始しました。ノロッド氏は、以前の世代のコンソールは簡単にハッキングできたため、コンソールゲームの著作権侵害が横行していたと指摘しました。
「以前の世代のゲーム機はハッキングが可能だったので、おそらく半径10マイル以内のあらゆる場所に行って、プレイステーション3のあらゆるゲームが書き込まれた4テラバイトのハードドライブを購入することができました。」
AMDはXbox OneとPS4向けに暗号分離を実装しました。これにより、コンソールゲームの開発者はプレイヤーがゲームを違法コピーしないという信頼を持たなくてもよくなりました。ノロッド氏は、2014年にAMDに入社してすぐにこの機能について知り、EPYCサーバーチップのロードマップに組み込んだと述べています。
Norrod 氏は、クラウドでホストされる仮想マシンとコンテナの機能に可能性を感じていました。コンソール ゲームの開発者がコンソールの所有者を信頼する必要がないのと同様に、クラウド アプリケーションの開発者は、データセンターの所有者がアプリケーションから機密情報を盗まないことを信頼する必要はありません。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
AMD の SEV とは何ですか?
AMD の EPYC チップ向け Secure Encrypted Virtualization 機能により、仮想化アプリケーション開発者によるコード変更を必要とせずに、AMD 搭載サーバー上の仮想マシンのメモリ全体を暗号化できます (ただし、ホスト オペレーティング システムとハイパーバイザーによって有効にされる必要があります)。
AMDのSEVとIntelのSoftware Guard eXtensions(SGX)の違いは、SGXは暗号化キーが保存されている部分など、アプリケーションコードのごく一部のみを暗号化するのに対し、AMDのSEVは仮想化アプリケーションの実行コード全体を暗号化することです。
どちらのアプローチにも長所と短所があります。理論上は、AMDのSEVの方が暗号化範囲が広いため優れています。しかし、実際には、暗号化されたコードの攻撃対象領域がはるかに広いため、それほど安全ではない可能性があります。Intelも同様の機能「Multi-Key Total Memory Encryption(MKTME)」の開発に着手していますが、市場に登場するまでにはしばらく時間がかかるでしょう。
第1世代のEPYCサーバーでは15個の暗号鍵しか生成できませんでしたが、第2世代では509個の暗号鍵を生成できます。これらの鍵は、Armセキュアコプロセッサを搭載したAMDのPSPによって生成されます。これらのコプロセッサには、ハイパーバイザーや仮想マシンからはアクセスできません。
AMDのSEVがあなたの近くのサーバーにやってくる
AMDは第2世代EPYCプロセッサの開発においてVMWareと提携しており、VMWareは次期バージョンのVSphere仮想化ソフトウェアでSEVをサポートする予定です。IBMのRed HatをはじめとするLinuxディストリビューションも、まもなくこの機能をサポートする予定です。
ノロッド氏はこう語った。
「クラウドプロバイダーから独立して制御できる、まったく新しいレベルのセキュリティを実現できるようになります。」
AMDのシステムビルダー兼パートナーであるNor-Techのバイスプレジデント、ドミニク・ダニンガー氏は、第2世代EPYCチップのコア数が多い点を高く評価した。また、新しく改良されたSEV機能は「本格的に仮想化に取り組むすべての人にとって魅力的なはずだ」と述べた。
一般ユーザー向けの仮想化ベースのセキュリティ?
仮想化は、一般ユーザーの間でもますます普及し始めています。マイクロソフトは、仮想化環境にEdgeブラウザのバージョンを搭載したWindows Defender Application Guardも導入しました。また、最近導入されたWindows Sandboxでは、ユーザーがリスクの高いアプリケーションやメールの添付ファイルを自由に試せる「使い捨てのWindows環境」を構築できるようになりました。
WindowsをはじめとするOSが仮想化ベースのセキュリティを活用し始めるにつれ、AMDのセキュア暗号化仮想化(SEV)機能は、データセンターの顧客だけでなく、PCやノートパソコンの購入者にとってもますます重要になっています。AMDは、SEVがコンシューマー向けRyzenチップに搭載される予定については、まだ何も示唆していません。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
