En un entorno muticliente, por ejemplo Cloud, donde en un mismo hardware corran múltiples máquinas virtuales de diferentes empresas, puede ser una opción interesante el habilitar la encriptación por VM, de tal forma que desde una de ellas, o desde el propio Hipervisor,  no se pueda atacar y acceder a la información del resto.

Disponemos de varias características en el diseño de los nuevos procesadores que AMD nos define así:

AMD SECURE ENCRYPTED VIRTUALIZATION (SEV):

Permite que los hipervisores y máquinas virtuales sean criptográficamente aislados unos de otros. Por tanto, si se introduce un software malicioso que evite el aislamiento proporcionado por el hipervisor o si el propio hipervisor está comprometido, no se podrá leer la memoria desde otra máquina virtual ya que las claves de cifrado, que se almacenan dentro del secure processor, serán diferentes, pudiéndose generar hasta 509 claves en Gen10 Plus y 1006 en Gen11

AMD SECURE ENCRYPTED STATE (SEV-ES):

Esta opción, introducida en los procesadores AMD EPYC de segunda generación, cifra el estado de la máquina virtual cuando las interrupciones hacen que se almacene en el hipervisor. Al estar la información cifrada con la clave de cifrado de la máquina virtual, un hipervisor comprometido no podrá ver los registros de la máquina virtual.

Debemos tener en cuenta que estas opciones, al igual que ocurre con “Secure Memory Encryption” (SME), deben estar soportadas por la versión de Hipervisor y VM, por lo que, para poder usarlas, deberemos comprobar antes la lista de compatibilidad del software.

Vamos a ver como configurar nuestro servidor ProLiant Gen10 Plus o Gen11 para usar esta protección en un entorno de virtualización.

Lo primero, pulsamos F9 en el arranque para acceder a la configuración de la Bios. Una vez ahí, seleccionamos “BIOS/Platform Configuration (RBSU)”

Interfaz de usuario gráfica, Texto, Aplicación

Descripción generada automáticamente

Y accedemos primero a la configuración de memoria para activar esta, de la cual depende el modo de encriptación de virtualización.

Interfaz de usuario gráfica

Descripción generada automáticamente

Dentro de “Memory Options”, bajamos hasta la última opción de la página, que es “Memory Encryption Options” y pinchamos en ella.

Interfaz de usuario gráfica, Texto, Aplicación

Descripción generada automáticamente

Aquí seleccionamos “Enabled” dentro del desplegable de “AMD Secure Memory Encrytion” para habilitar la encriptación selectiva de direcciones de memoria.

Regresamos hasta el menú “BIOS/Platform Configuration (RBSU)” y seleccionamos “Virtualization Options”

Interfaz de usuario gráfica

Descripción generada automáticamente

Aquí dentro podemos determinar cuántas VMs podrán usar la característica SEV-ES, hasta un máximo de 16, modificando el valor del campo “Minimum SEV ASID” (Address Space Identifier). Si por ejemplo ponemos un valor “6”, un máximo de 5 maquinas podrán disponer de su ASID, el resto usarán el modo SEV standard, si se deja el valor por defecto “1”, todas las VMs estarán en modo SEV.

Si se habilita la encriptación de memoria (SME), se podrá acceder a un máximo de 8TB de direccionamiento físico, o de 16TB, como nos muestra la opción “Maximum SEV ASID”, dicha cantidad se modifica automáticamente de 8 a 16TB si se detectan más de 8TB en el arranque del equipo. Si hay más de 16TB, se deberá deshabilitar SME, lo que también deshabilita SEV.

Una vez realizadas las configuraciones, presionamos “F12” para guardar cambios y reiniciar el equipo.

Comparte este artículo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *