AMD EPYC™プロセッサーが提供する、クラウド環境でのコンフィデンシャル・コンピューティング
2022-09-22更新
新しいテクノロジーが生み出す新しい可能性
クラウド環境は、標準的なサーバーを使用してこれらの機能を実装することで、高価な専用計算機、ストレージ、およびネットワーク・ノードを置き換えることができます。クラウド環境でのワークロードの実行は、必要なコンピューターとストレージのリソースを定義し、それらのリソースがどのように互いに、そして外部に接続されるべきかを定義するのと同じくらい簡単なのです。この作業は、マウスを数回クリックするか、簡単なコマンドをいくつか実行するか、既存の設定を読み込むことで行えます。さらに、多くのワークロードは24時間365日稼動しているわけではありません。パブリック・クラウドの使用が減るのであれば、リソースの一部または全部に対する支払いを減らすことができるかもしれません。プライベート・クラウドの使用が減るのであれば、そこに割いていた労力を社内の他の目的に使うことができます。
仮想化環境は、次のような方法で利用することができます。
オンプレミス: 仮想化環境をホストするすべてのハードウェアを自社で所有します。このシナリオでは、 VMware® などのハイパーバイザーや Nutanix™ などのアプライアンスを使用して、仮想サーバー、ストレージ、およびネットワーキングを構築することになります。このセットアップは、プライベート・クラウドとも呼ばれます。
パブリック・クラウド:Google Cloud、Microsoft Azure、Amazon AWSなどのクラウドサービスプロバイダー(CSP)から必要なリソースをレンタルするものです。
ハイブリッド:パブリックとプライベートが混在しているものを指します。ハイブリッドの場合、例えば、プライベート・クラウドを使用しながら、急増するニーズに対応するためにパブリック・クラウドに拡張することも可能です。
新たな機会が新たな脅威を生む
レガシーネットワークを、鍵を持つ人が少なく、ドアや窓の数が少ない一戸建ての家と考えてみてください。クラウド環境は、より高密度で柔軟な土地利用が可能なマンションに似ていますが、ドアや窓、鍵を持つ人の数は多くなっています。つまり、隣接するアパートを使って、隣人を監視したり、盗んだりすることも可能になってしまうことがあります。外出時に鍵をかける必要性はわかっていても、家の中のセキュリティーに気を配っている人はどれだけいるでしょうか?
マルチテナントのパブリック、プライベート、ハイブリッドクラウド環境に内在する仮想化により、各仮想マシンのメモリ、キャッシュ、レジスタは不正アクセスに対して脆弱になる可能性があります。しかし、仮想化環境が一般的になるにつれ、使用中のデータを保護することが優先されるようになったのは、ごく最近のことです。
コンフィデンシャル・コンピューティングの導入
コンフィデンシャル・コンピューティングでは、ハードウェアベースの暗号化を使用して、データのプライバシーと整合性を保護するのに役立ちます。 AMD EPYC™ プロセッサーには、仮想化環境を含め、機密データの保護を支援する Infinity Guard¹ 機能群が搭載されています。 Secure Memory Encryption(SME) は、ベアメタルマシンのシステム・メモリーを暗号化します。 SEV(Secure Encrypted Virtualization)²は、 AMD Secure Processor がゲスト・メモリの暗号化に使用する固有のキーを生成するため、個々の仮想マシンを分離するのに役立ちます。 SEV Encrypted State(SEV-ES) は、CPUレジスタの内容も暗号化することで、さらなるセキュリティー・レイヤーを追加します。 SEV Secure Nested Paging(SEV-SNP) は、ゲスト・メモリに整合性保護機能を提供することで、再び防御を拡張します。これらの技術は、攻撃者が仮想マシンのメモリ、レジスタ、キャッシュに対して不正な読み取りや書き込みを行うことを防ぐために連携して機能します。
セキュリティーは、しばしばパフォーマンスと引き替えになります。開いているドアを通るより、ドアのロックを解除する方が時間がかかります。 AMD EPYC プロセッサーでセキュリティー機能を有効にすると、わずかなオーバーヘッドが追加されるだけです。ここにその好例があります。これらの機能は、BIOS、ハイパーバイザー、およびゲストOSの各レベルで有効化されます。個々のx86アプリケーションに変更を加える必要はありません。
コンフィデンシャル・コンピューティングを支えるAMDの主要ステークホルダー
AMDは、大規模かつ成長中の AMD EPYC エコシステム全体のステークホルダーと連携しています。AMDは、ベアメタル環境と仮想化環境の両方で AMD EPYC のセキュリティー機能を有効にするOS、ハイパーバイザー、クラウドサービスプロバイダー(CSP)のベンダーと連携しています。
クラウド環境は、その柔軟性と拡張性から、お客様のITニーズに最適な選択肢となる可能性があります。これらのアーキテクチャは、システムのオーバーヘッドをさらに削減し、セキュリティーを優先的に考慮した設計アプローチを提供する新しい設計が開発されるにつれ、進化を続けています。このビデオ*は、その良い例です。
AMDは、ハードウェアベースのセキュリティーの開発で主導的な役割を果たし、ソフトウェア・エコシステム全体でこれらの機能を開発、強化し続けています。私は、機密コンピューティングのための堅牢なエコシステムを構築するために、関係者とともに大きな前進を遂げたことを誇りに思います。
こちらの記事はAMD本社のブログ記事を機械翻訳したものです。詳しくは元記事をご覧ください。
本記事の執筆者であるRaghu Nambiar氏は、AMDのデータセンター・エコシステム&ソリューション担当コーポレート・バイスプレジデントです。彼の投稿は彼自身の意見であり、AMDの立場、戦略、意見を代表するものではありません。第三者のサイトへのリンクは便宜上提供しているものであり、明示的に記載されていない限り、AMDは当該リンク先サイトのコンテンツに責任を負わず、いかなる支持も示唆するものではありません。
脚注:
¹ AMD Infinity Guardの機能は、EPYC™プロセッサーの世代によって異なります。Infinity Guardのセキュリティー機能を動作させるには、サーバーOEMやクラウドサービスプロバイダーが有効化する必要があります。これらの機能のサポートについては、OEMまたはプロバイダーにご確認ください。Infinity Guard の詳細については、https://www.amd.com/en/technologies/infinity-guard を参照してください。GD-183
² さらに詳しい情報については、https://developer.amd.com/sev/ を参照してください。
*サードパーティーのサイトへのリンクは便宜上提供されているもので、明示的に記載されていない限り、AMDはそのようなリンク先サイトのコンテンツに対して責任を負わず、いかなる推奨も示唆されません。