AMD+谷歌轻松搞定运行中数据加密

2020年，AMD迎来了跨越式增长，最新财报显示，2020年第二季度AMD营业额为19.3亿美元，同比增长26%。

AMD总裁兼首席执行官苏姿丰博士（Dr. Lisa Su）表示：“AMD第二季度的表现非常强劲，笔记本和服务器处理器销售即锐龙和EPYC（霄龙）的营业额比去年同期增加了超过一倍。”

与此同时，AMD在云、企业级和高性能计算解决方案方面赢得了更多订单，第二代AMD EPYC（霄龙）处理器继续在数据中心加速部署。包括谷歌、AWS、Oracle、NVIDIA等巨头都与AMD展开了广泛的合作。

在云计算与安全方面，谷歌云更是依托于第二代AMD EPYC（霄龙）处理器，在云端安全方面有了新突破，在基于第二代AMD EPYC（霄龙）处理器的谷歌计算引擎上，利用EPYC处理器的安全功能上线了机密虚拟机（VMs）的测试版，实现了云端加密、更大容量的虚拟机以及更高的性能。

被誉为“互联网之父”的谷歌副总裁兼首席互联网顾问Vint Cerf表示：“借助AMD EPYC处理器中先进的安全技术，我们创造了突破性的技术，使客户能够加密云端正在处理中的数据，并解锁此前无法实现的计算场景。”

简单说，谷歌的机密虚拟机带来了如下特性：

• 实时加密正在使用的数据：谷歌云客户可利用第二代AMD EPYC处理器的领先安全功能以及机密计算云服务对使用中的数据进行加密，从而实现云数据保护等级的突破。

• 高性能虚拟机：机密虚拟机提供了与基于高性能第二代AMD EPYC处理器的谷歌N2D虚拟机类似的性能。

• 安全加密虚拟化 （SEV）：AMD EPYC处理器提供的领先安全功能，由嵌入式安全处理器生成和管理的每个虚拟机专有的密钥，对虚拟机内存进行加密。

• “直接迁移的机密性”：AMD和谷歌简化了机密计算的使用，客户无需对其应用进行任何代码更改即可无缝向机密虚拟机迁移，从而受益。

Google Cloud借助AMD EPYC实现云端加密

云端安全一直都是企业级用户关注的重中之重，毕竟大量的用户数据都在云端，一旦出现安全事件，那么对用户而言很有可能面临的就是“灭顶之灾”。

一般来讲，云服务商会对用户在云端硬盘上的数据进行加密，防止数据泄露或被删改。但运行在虚拟机上的数据却远没有那么安全。

几乎所有的用户都会用到虚拟机，因为其可以更好地调配资源，弹性扩容，并为用户降低成本。但虚拟机在运行过程中，有很大一部分数据都置于内存之中，因此传统技术很难对其进行加密操作。但某些窥探程序却可以访问内存，这就对正在运行中的数据有了被窃取的风险。

谷歌云的机密虚拟机解决的就是这些问题，也成为了业界首款虚拟机加密服务。基于在谷歌计算引擎上的N2D虚拟机系列，机密虚拟机为客户要求最严苛的计算任务提供了高性能处理，并且可以对云端正在处理的最敏感的数据进行加密。

据Google Cloud高级产品经理Nelly Porter介绍，新的基础架构让黑客无法窃听应用程序在做什么，除了在应用程序处理数据时提供加密之外，还提供了其他安全功能。

例如，当服务器关闭电源后，依然会出现黑客或恶意内部人员访问物理硬件的问题，但数据仍处于加密状态，即使被拆掉硬盘也无计可施。

因此，缓解的不仅是软件攻击，还包括物理访问攻击。Porter指出：“甚至Google本身也无法窥探机器内部并查看数据。我们看到的越少，对每个用户就越好。”

实现云端加密的原理也相对“简单”一些，那就是基于第二代AMD EPYC（霄龙）处理器的新安全特性，这可是其他处理器厂商目前还没法实现的哟！

AMD EPYC处理器提供的安全功能，由嵌入式安全处理器生成和管理的每个虚拟机专有的密钥，对虚拟机内存进行加密。机密虚拟机提供了与基于AMD EPYC处理器的谷歌N2D虚拟机类似的性能。也就是说，加密所占的系统资源非常少，在大部分应用场景下都不会影响虚拟机性能。

更大容量虚拟机满足客户新需求

在安全方面，英特尔SGX可以将程序以外的software stack如OS和BIOS都排除在了TCB（Trusted Computing Base）以外，从而构建一个“安全区域”，防止底层硬件及OS被攻击。

从表面上看英特尔SGX能够为用户提供一个相对安全的运行环境，但在云服务商实际操作过程中却展现出了一些弊端。最主要的一点就是：这个特性仅适用于工作站，而非企业级的服务器，而且其安全区域内最多仅可容纳92 MB的内存，这使得平台运行应用程序变得困难。对企业级用户而言，可用性不高。

在18个月之前，谷歌为用户和开发者提供了SDK，希望能够帮助用户解决SGX所带来的问题。但这一切实际操作起来却是很难，主要还是受限于92 MB存储空间，让很多应用都必须进行修改。为了兼容92MB存储空间，应用程序必须修改成每次处理少量数据，多次进行。

但当Google Cloud尝试应用第二代AMD EPYC服务器时，这些问题竟然得以解决！英特尔SGX的最高存储容量为92MB，而AMD芯片则没有实际限制。这意味着Google Cloud最大的虚拟机上的容量高达896 GB。

Nelly Porter表示，第二代AMD EPYC处理器解决了性能、延迟和可扩展性问题。由于内存不再是问题，因此客户可以轻松运行现有的应用程序，用户的应用程序再也不必进行重构。

“英特尔虽然率先提出了解决这些问题的技术，但AMD却彻底解决了它”Nelly Porter这样评价。

轻松搞定加密虚拟机迁移

AMD和谷歌简化了机密计算的使用，客户无需对其应用进行任何代码更改即可无缝向机密虚拟机迁移，从而受益。

对于企业级用户而言，如果为了适应加密而去修改自己的应用程序，那么过程将非常痛苦。因为实际操作过程中还需要考虑到性能、可用性、规模化以及后续优化。因此，相比之下第二代AMD EPYC服务器则可以完美解决这些问题，不再让应用受限。

Google Cloud是第一个使用第二代AMD EPYC平台提供运行时加密产品的公司，凭借其更高的加密性能表现，该芯片已在数据中心领域获得了广泛的关注。