개요
AMD Secure Encrypted Virtualization 기술은 AMD가 제공하는 하드웨어 기반 보안 기법으로, Guest와 Hypervisor를 분리 (isolate)할수 있는 기술을 제공한다. 각 Virtual machine마다 AMD CPU에 의해서 생성된 하나의 key를 가지며, Guest의 메모리 영역을 암호화 하여 사용할 수 있게 해준다.
SEV는 SEV-ES와 SEV-SNP기술을 제공한다.
- SEV Encrypted State (SEV-ES): VCPU가 정지할 경우, VCPU의 모든 레지스터 상태를 암호화 하여 저장한다. 이는 Hypervisor와 같은 외부 componenet가 VCPU의 레지스터 정보를 유출할 수 없도록 강제한다.
- SEV Secure Nested Paging (SEV-SNP): Data replay, memory remapping과 같은 malicious한 hypervisor가 VM의 메모리 state를 손상시켜서 memory integrity를 해하는 공격에 대한 방어를 제공한다. 이외에도, SEV-SNP는 추가적인 하드웨어 기반 VM보안 기법을 제공하여서, interrupt, side channel attack과 같은 취약점에 대한 보안을 보장한다.