微軟與AMD宣布新合作 以保護(hù)Azure云端托管的更多虛擬機(jī)

Azure confidential computing 架構(gòu)圖（來自：Microsoft）

微軟首席技術(shù)官 Mark Russinovich 在 Cloud Strategy 博客中贊揚(yáng)了與 AMD 達(dá)成的新合作，宣稱雙方關(guān)系的進(jìn)一步擴(kuò)展，能夠為 Azure 客戶帶來切實(shí)可用的機(jī)密計算選項。

更重要的是，微軟也是首家提供基于 AMD 新一代 EPYC 7003 系列服務(wù)器處理器 + 可信賴計算（Confidential Computing）的大型云服務(wù)提供商。

作為現(xiàn)有方案（比如 Azure 容器服務(wù)）的補(bǔ)充，新合作為打造新的機(jī)密應(yīng)用程序提供了可能。且客戶無需修改任何代碼，從而極大地簡化了構(gòu)建配套應(yīng)用程序的過程。

作為這套解決方案的關(guān)鍵推動因素，AMD 提供了包括安全加密虛擬化、安全嵌套分頁（SEV-SNP）等在內(nèi)的高級安全特性。

后者可用于創(chuàng)建受信任的執(zhí)行環(huán)境，為虛擬機(jī)客戶提供更全面的保護(hù)，且在 AMD 第三代霄龍（EPYC）處理器上得到了顯著增強(qiáng)。

Russinovich 補(bǔ)充道，基于 AMP EPYC CPU 的 Azure 虛擬機(jī)將以完全加密的形式來運(yùn)行，且能夠生成專用的 VM 加密密鑰。

同時新密鑰生成過程可大幅減少手動設(shè)置干預(yù)，對消費(fèi)者和企業(yè)客戶而言都是一個巨大的吸引力。

此外 Azure 將提供證明服務(wù)，在收集了正確的硬件環(huán)境線索之后，可向 Azure Key Vault 提供加密信號。僅當(dāng)環(huán)境處于已知狀態(tài)時，它才會安全釋放虛擬機(jī)鏡像的解密密鑰。

值得一提的是，AMD 第三代霄龍服務(wù)器 CPU 還支持本地硬件用戶加密整個虛擬機(jī)，而無需重新編譯代碼，同時可利用 Azure 不斷發(fā)展的配套安全措施。

最后，微軟與 AMD 的擴(kuò)展合作有望讓 VM 在三代霄龍平臺上更加安全，且不易受到 Bootkit、Rootkit、以及內(nèi)核級惡意軟件的攻擊。