微软发布了 Azure DCasv5/ECasv5(具有 AMD SEV-SNP VM 隔离的机密虚拟机)的初始预览版，由具有 SEV-SNP 的第三代 AMD EPYC™ 处理器提供支持。

　　AMD SEV-SNP VM 隔离

　　AMD 的安全加密虚拟化 (SEV) 是 2016 年推出的一项技术，用于加密虚拟机内存。AMD在此处发布了一份白皮书 (PDF)。这允许将虚拟机 (VM) 与管理程序隔离。后来添加了 SEV-SNP(SNP 代表 Secure Nested Paging)。这个 AMD 页面仍然准备好了概述。

　　带有 AMD SEV-SNP 的 Azure

　　前几天，我在 Twitter 上看到了 Microsoft 的公告，主题是 Mark Russinovich用新的基于 AMD 的机密虚拟机扩展 Azure 机密计算。

　　Microsoft 宣布了 Azure DCasv5/ECasv5 机密虚拟机 (VM) 的公共预览版(预览版)，由具有 SEV-SNP 的第三代 AMD EPYC™ 处理器提供支持。Microsoft 写道，这些新 VM 提供了一种部署机密工作负载的简单方法，并且无需对现有应用程序或代码进行任何更改。

　　这些工作负载在与通用虚拟机相同的硬件配置上启用，并提供允许客户在满足所需机密性和性能要求的同时运行通用工作负载的性能特性。AMD 最近发布了这些机密 Azure VM 的几个基准测试。

　　Azure 新的基于 AMD 的机密 VM 旨在确保不仅在不同云客户之间，而且在客户与云本身之间的机密性。

　　这些硬件加密的虚拟机具有完整性保护的全状态加密和基于 AMD 高级安全加密虚拟化 (SEV) 安全功能的高级硬件安全性，尤其是安全加密虚拟化-安全嵌套分页 (SEV-SNP)。

　　使用这些技术，AMD SEV-SNP 通过拒绝虚拟机管理程序和其他主机管理代码访问 VM 内存和状态来保护来宾，防止云运营商访问。结合 Azure 全盘加密和 Azure 托管 HSM，客户代码和数据在使用、传输和静止时都使用受保护且可由客户控制的加密密钥进行加密。整个 VM 受益于由硬件增强的强大保护层。