在這個復雜的世界，客戶需要從流程到技術，全方位提高工作負載的安全性。AMD對安全性一直十分重視，為AMD EPYC(霄龍)處理器配備了AMD Infinity Guard[1]，它提供了一整套獨特而強大的現代安全功能，可在軟件啟動、執行和處理關鍵數據時幫助減少潛在的攻擊面，有助于在軟件層面和系統層面上與行業生態系統合作伙伴相互協同，在帶來芯片級安全功能的同時，對系統性能幾乎沒有影響。

安全加密虛擬化

AMD EPYC(霄龍)處理器憑借安全加密虛擬化 (SEV)，通過使用僅為處理器所知的509個唯一加密密鑰，分別對每臺虛擬機進行加密，以幫助保護隱私和完整性。即使惡意虛擬機找到進入您的虛擬機內存的方法，或者被盜用的管理程序進入到客戶虛擬機，這也可以幫助保護數據的機密性。

安全嵌套分頁

第三代AMD EPYC(霄龍)處理器全新升級，帶來AMD安全加密虛擬化 (SEV) 技術——安全嵌套分頁 (SEV-SNP)。SEV-SNP增強了內存完整性保護能力，有效防止基于管理程序的惡意攻擊，如數據重放、內存重新映射等，從而能夠創建隔離的執行環境。

安全內存加密

如今許多安全威脅來自企業內部。安全內存加密 (SME) 會對數據進行加密，以防止對主內存完整性的攻擊(例如冷啟動攻擊)。集成到內存通道中的高性能加密引擎有助于提高性能。所有這些都是在不修改應用程序軟件的情況下完成的。

AMD Shadow Stack

第三代AMD EPYC(霄龍)處理器推出AMD Shadow Stack安全功能，提供硬件強制堆棧保護，有效防范惡意軟件攻擊。此安全功能旨在應對諸如面向返回的編程等威脅攻擊。通過記錄返回地址以便進行比較，確保完整性不受損害。此外AMD Shadow Stack還支持Microsoft硬件強制堆棧保護。

AMD安全啟動[2]

AMD安全啟動功能(或平臺安全啟動)用于防范固件高級持續性威脅。這是一種旨在提供更高安全性的縱深防御功能，以應對日益猖獗的固件級別攻擊。AMD安全啟動通過擴展AMD芯片級信任根來幫助保護系統BIOS。通過AMD安全啟動從AMD芯片級信任根到BIOS，再通過UEFI安全啟動從系統BIOS到操作系統引導程序，幫助系統建立起完整可靠的信任鏈。此功能有助于抵御試圖將惡意軟件嵌入固件的遠程攻擊者。在虛擬化環境中，還可以用于加密驗證云服務器上加載的軟件堆棧。AMD相信AMD安全啟動功能帶來的強大防御能力能夠進一步加強平臺安全防護。

[1] AMD Infinity Guard的功能隨 EPYC(霄龍)處理器的更新迭代而有所變化。Infinity Guard的安全功能必須由服務器OEM和/或云服務提供商啟用才能使用。請與OEM或提供商確認是否支持這些功能。有關Infinity Guard 的更多信息，請訪問https://www.amd.com/zh-hans/technologies/infinity-guard。GD-183

[2] OEM啟用AMD安全啟動功能后，即授權其加密簽名BIOS代碼只能在其基于AMD安全啟動主板的平臺上運行。處理器中的一次性可編程熔斷器會將處理器綁定到OEM的固件代碼簽名密鑰。從此，該處理器只能與使用該代碼簽名密鑰的主板一起使用。

原文標題：AMD Infinity Guard帶來先進的芯片級安全功能

文章出處：【微信公眾號：AMD中國】歡迎添加關注!文章轉載請注明出處。

審核編輯：湯梓紅