Redhat發佈了一篇保密虛擬機器的簡介
保密虛擬機器(Confidential Virtual Machines,簡稱 CVMs)是一種使用硬體加密技術來保護虛擬機器(Virtual Machines,簡稱 VMs)的數據和代碼的解決方案。CVMs 可以防止惡意的主機管理員、雲服務提供商或其他第三方訪問或竊取 VMs 的內容,從而提高 VMs 的安全性和隱私性。
CVMs 的工作原理是利用處理器的安全附加模組(Secure Enclave Module,簡稱 SEM),在其中創建一個受保護的區域,稱為安全附加(Secure Enclave,簡稱 SE)。SE 是一個隔離的執行環境,只有授權的 VMs 可以訪問。SE 中的數據和代碼都是加密的,並且只有在 SE 內部才能解密。這意味著即使主機管理員或其他人可以訪問 VMs 的記憶體或硬碟,他們也無法閱讀或修改 SE 中的內容。
CVMs 的好處是可以讓用戶更放心地將敏感的工作負載部署到雲端,而不用擔心數據洩露或篡改。CVMs 也可以支持多租戶的場景,讓不同的用戶共享同一個物理主機,同時保持各自 VMs 的隔離和保密。此外,CVMs 還可以提高 VMs 的性能和效率,因為加密和解密的過程都在硬體層面完成,而不需要軟體介入。
目前,市場上有幾種不同廠商提供的 CVMs 解決方案,例如 AMD 的 SEV、Intel 的 SGX 和 IBM 的 PEF。這些解決方案各有其優缺點,並且需要相應的硬體和軟體支持。Red Hat 作為一個開源和雲端領導者,致力於通過其產品和服務來支持和整合各種 CVMs 技術,讓用戶可以更容易地使用和管理 CVMs。
詳情請看: