太平洋科技企业站

行稳才能致远——AMD第三代EPYC处理器，以安全的计算构建业务的安全

轻聊责任编辑：wangshen 发布于：2021-06-24 14:40

安全生产，人人有责！

对于这句口号，绝大多数国人都不会感到陌生。在持续数十年的基建狂潮之中，这句标语曾经无数次的出现在各类施工现场最显眼的位置。而当数字时代轰然到来，传统基建变为新基建，越来越多企业也开始以更积极的姿态拥抱数字化转型。

而在如火如荼的数字化转型当中，施工现场都从物理空间迁入了看不见、摸不着的数字空间，我们应该在哪里悬挂“安全生产，人人有责”的标语呢？

不安全的业务，比没有业务更可怕

在刚刚过去的5月，新西兰一家医院遭遇勒索病毒攻击，为了恢复受影响的软硬件系统，该医院不得不取消了当周20%的选择性手术和门诊预约。面对黑客的勒索行为，当地卫生部门官员表示并不打算支付赎金。

同样是5月，北美最大的石油管道公司Colonia也遭受了勒索软件的袭击，事件造成大量加油站的汽油供应中断；而这也引起了消费者的紧张情绪，越来越多人开始受影响在加油站门前排队加油，以防出行受到影响。与新西兰医院系统的抉择不同，为了尽快恢复石油供应，Colonia公司迅速做出向黑客支付赎金的决定，这一决策这也将事件的影响周期缩短至两周以内。

而最新的情况则是，美国政府出手，通过在全球范围内的服务器中追查赎金（比特币）流动情况，帮助Colonia公司追回了大部分损失。

接连不断发生的信息安全威胁事件让所有企业都意识到，不安全的业务甚至比没有业务更糟糕。而且，并非所有政府都有能力或精力，出手帮助遭遇黑客侵害的企业。

在看不见的虚拟空间中，企业应该如何保护自己的业务和数据？面对层出不穷的新型威胁，企业如何做到防患于未然？

追根溯源，安全的计算是关键

信息安全是ICT系统建设过程中一个老生常谈的问题，也是一个始终处在“道高一尺、魔高一丈”状态下的棘手问题。为了保障业务和数据的安全，企业需要不断升级自身的防御能力，不断更新防火墙和杀毒软件的信息库，不断投入资金和人力。显然，从任何角度来看，这种“无底洞”似的安全模式既不经济，也不高效。

难道，即便在数字时代，企业也只能对威胁听之任之；用犹未晚矣来安慰自己的亡羊补牢？

计算是企业从数据中获取价值的关键一步。同样的，计算也是黑客和任何攻击手段发挥作用的关键。在IT系统中植入有漏洞的应用或各类木马病毒只是打破了企业的城墙，真正的攻击行为仍需受害者的服务器去执行这些威胁程序或对入侵行为做出“正确”响应。

因此，从计算入手阻断安全威胁或将成为破解安全迷局的全新思路。

在这一思路中，AMD已经走在了行业的前列；其方法正是从硬件入手，构建安全的计算，进而实现数据安全和业务安全。

第三代EPYC中增强的Secure Processor

凭借改进的三级缓存调用机制和架构层面的一系列优化，AMD第三代EPYC（霄龙）处理器能够实现19%的IPC性能提升。同时，7nm先进制程所带来的高能效表现、64核心的强大并行计算虚拟化性能以及对PCI-E 4.0接口的支持也都让第三代EPYC处理器成为了云服务提供商和企业的在构建新一代基础架构时的优势之选。

不过，在数量繁多的创新点之中，集成在第三代EPYC处理器中的Secure Processor和众多安全功能则是AMD针对企业数字安全所做出的重大创新。当然，Secure Processor（安全处理器）在第一、二代EPYC处理器中就已经采用，但在第三代中进一步增强。

01、内存加密，让窃密者无法获取有效信息

针对黑客最看重的系统内存，第三代EPYC处理器内置了SME功能；用户可以通过相当低的性能损失来对系统内存中的数据进行全面加密，让黑客即便得手也无法从加密数据中获取有效信息。

02、三重保护，让虚拟机无比稳固

针对以虚拟化形态部署的各类应用，第三代EPYC处理器提供了SEV、SEV-ES和SEV-SNP等三种保护措施。其中SEV能够使用特殊秘钥对所有运行中的虚拟机进行加密；SEV-ES则能够通过对CPU寄存器的全面保护来进一步确保加密虚拟机的完整性不受破坏；而SEV-SNP则能够通过对嵌套的分页行为进行保护，进而防止恶意管理程序获取虚拟机和权限。

三重技术层层递进，从多个层面对运行在CPU核心上的虚拟机进行全方位的加密和保护。而通过CPU内部的硬件模块来实现这些功能，则有助于降低企业在构建安全计算时所付出的性能开销。

03、控制权，始终在正确的人手中

针对近几年非常流行的控制流劫持攻击，AMD也在处理器中集成了全新的Shadow Stack功能。通过防止处理器缓冲区溢出，黑客便无法借助这一漏洞获取目标机器的控制权或对威胁操作进行提权。

04、保证代码完整性，不给黑客可乘之机

通过将原本正确的代码替换为恶意或包含漏洞的代码，黑客可以发起种类繁多的窃密或攻击行为。而第三代EPYC处理器内置的GMET功能则可以在CPU执行代码之前，确保代码完整性未受损害。由此，黑客处心积虑替换代码所换来的也只能是一场空。

更进一步的，通过硬件级别的启动过程防护，第三代EPYC平台可以确保芯片内置的ROM、硬盘中的Boot Loader、BIOS以及UEFI系统不被篡改，从而在基于OS的安全措施生效之前，为系统提供全面防护。

多种层面不同针对性的硬件安全模块共同组成了第三代EPYC中增强的Secure Processor，让企业能够更轻松的构建安全的计算环境，不给黑客可乘之机。

数字时代，安全生产不靠口号

伴随数字化转型的进行，企业的生产行为已经越来越离不开数字空间中的各类应用。虽然企业无法通过悬挂标语和口号的形式来保证数字化生产安全，但处理器安全技术的进步却给了企业另一个更简单、更直接的安全选项。而现在，AMD所引领的处理器安全风潮正在积极影响行业，越来越多的芯片企业也开始在处理器中内置各类安全模块和功能。

行稳，才能致远；AMD所倡导的计算安全之道正在将企业从被动安全的桎梏中解放出来，让企业能够更主动、更高效的实现安全，进而更快、更好的完成数字化转型。