AMD SEV-SNP（えーえむでぃー えすいーゔいー えすえぬぴー）

AMD SEV-SNPとは

AMD SEV-SNP (Secure Encrypted Virtualization - Secure Nested Paging) は、AMD EPYCプロセッサに搭載されたセキュリティ機能であり、仮想マシン (VM) の機密性と整合性を保護することを目的としています。従来のAMD SEV (Secure Encrypted Virtualization) を拡張したもので、VM間の隔離を強化し、悪意のあるハイパーバイザーや他のVMからの攻撃に対する耐性を高めます。

SEV-SNPの主な特徴

• メモリ暗号化: VMのメモリ全体を暗号化し、ハイパーバイザーを含む他のエンティティからの不正アクセスを防ぎます。
• 整合性保護: メモリの内容が改ざんされていないことを保証します。改ざんが検出された場合、VMは安全な状態を維持するためにシャットダウンされます。
• Nested Paging: メモリ管理ユニット (MMU) を仮想化し、ハイパーバイザーがVMのメモリ管理に干渉することを防ぎます。
• 強化された隔離: VM間の隔離を強化し、あるVMからの攻撃が他のVMに影響を与えるリスクを軽減します。

SEV-SNPの利点

• 機密コンピューティング: 機密データを扱うアプリケーション (データベース、金融取引など) のセキュリティを向上させます。
• クラウドセキュリティ: クラウド環境におけるVMのセキュリティを強化し、顧客データの保護を支援します。
• 信頼性の向上: 悪意のある攻撃やソフトウェアのバグによるシステム障害のリスクを軽減します。
• コンプライアンス: 厳格なセキュリティ要件を満たす必要がある業界 (金融、医療など) におけるコンプライアンスを支援します。

SEV-SNPの動作原理

SEV-SNPは、AMDプロセッサに組み込まれたハードウェアベースのセキュリティ機能を活用しています。VMのメモリ暗号化と整合性保護は、プロセッサ内の専用エンジンによって行われます。これにより、ソフトウェアによるオーバーヘッドを最小限に抑え、パフォーマンスへの影響を軽減します。

SEV-SNPの利用

SEV-SNPは、主要な仮想化プラットフォーム (KVM、Xenなど) でサポートされています。VMware vSphere 7 Update 3以降でもサポートされています。SEV-SNPを利用するには、対応するプロセッサ (AMD EPYC 7003シリーズ以降) を搭載したサーバーと、SEV-SNPをサポートする仮想化ソフトウェアが必要です。