第三代AMD EPYC(霄龙)处理器的功能

在这个复杂的世界，客户需要从流程到技术，全方位提高工作负载的安全性。AMD对安全性一直十分重视，为AMD EPYC(霄龙)处理器配备了AMD Infinity Guard[1]，它提供了一整套独特而强大的现代安全功能，可在软件启动、执行和处理关键数据时帮助减少潜在的攻击面，有助于在软件层面和系统层面上与行业生态系统合作伙伴相互协同，在带来芯片级安全功能的同时，对系统性能几乎没有影响。

安全加密虚拟化

AMD EPYC(霄龙)处理器凭借安全加密虚拟化 (SEV)，通过使用仅为处理器所知的509个唯一加密密钥，分别对每台虚拟机进行加密，以帮助保护隐私和完整性。即使恶意虚拟机找到进入您的虚拟机内存的方法，或者被盗用的管理程序进入到客户虚拟机，这也可以帮助保护数据的机密性。

安全嵌套分页

第三代AMD EPYC(霄龙)处理器全新升级，带来AMD安全加密虚拟化 (SEV) 技术——安全嵌套分页 (SEV-SNP)。SEV-SNP增强了内存完整性保护能力，有效防止基于管理程序的恶意攻击，如数据重放、内存重新映射等，从而能够创建隔离的执行环境。

安全内存加密

如今许多安全威胁来自企业内部。安全内存加密 (SME) 会对数据进行加密，以防止对主内存完整性的攻击(例如冷启动攻击)。集成到内存通道中的高性能加密引擎有助于提高性能。所有这些都是在不修改应用程序软件的情况下完成的。

AMD Shadow Stack

第三代AMD EPYC(霄龙)处理器推出AMD Shadow Stack安全功能，提供硬件强制堆栈保护，有效防范恶意软件攻击。此安全功能旨在应对诸如面向返回的编程等威胁攻击。通过记录返回地址以便进行比较，确保完整性不受损害。此外AMD Shadow Stack还支持Microsoft硬件强制堆栈保护。

AMD安全启动[2]

AMD安全启动功能(或平台安全启动)用于防范固件高级持续性威胁。这是一种旨在提供更高安全性的纵深防御功能，以应对日益猖獗的固件级别攻击。AMD安全启动通过扩展AMD芯片级信任根来帮助保护系统BIOS。通过AMD安全启动从AMD芯片级信任根到BIOS，再通过UEFI安全启动从系统BIOS到操作系统引导程序，帮助系统建立起完整可靠的信任链。此功能有助于抵御试图将恶意软件嵌入固件的远程攻击者。在虚拟化环境中，还可以用于加密验证云服务器上加载的软件堆栈。AMD相信AMD安全启动功能带来的强大防御能力能够进一步加强平台安全防护。

[1] AMD Infinity Guard的功能随 EPYC(霄龙)处理器的更新迭代而有所变化。Infinity Guard的安全功能必须由服务器OEM和/或云服务提供商启用才能使用。请与OEM或提供商确认是否支持这些功能。有关Infinity Guard 的更多信息，请访问https://www.amd.com/zh-hans/technologies/infinity-guard。GD-183

[2] OEM启用AMD安全启动功能后，即授权其加密签名BIOS代码只能在其基于AMD安全启动主板的平台上运行。处理器中的一次性可编程熔断器会将处理器绑定到OEM的固件代码签名密钥。从此，该处理器只能与使用该代码签名密钥的主板一起使用。

原文标题：AMD Infinity Guard带来先进的芯片级安全功能

文章出处：【微信公众号：AMD中国】欢迎添加关注!文章转载请注明出处。

审核编辑：汤梓红