Google CloudでSNP VMを使い始める

by Canonical on 19 October 2023

SEV-SNPとは、AMDのEPYCプロセッサで利用できる新しいセキュリティ機能です。SEV-SNPは、Secure Encrypted Virtualization Secure Nested Pages（暗号化された安全な仮想化-ネストされた安全なページ）の略語です。SEV-SNPはファームウェアのコードを含むメモリページを暗号化することによってファームウェアの保護レベルを高めます。この結果、攻撃者がファームウェアにアクセスして攻撃を開始することが困難になります。

SEV-SNPの利点

SEV-SNPを組み込んだファームウェアをVMで使用すると、VMのセキュリティの向上、分離の強化、パフォーマンスの向上が可能となります。

• セキュリティの向上。SEV-SNPはファームウェアのコードを含むメモリページを暗号化します。この結果、攻撃者がファームウェアにアクセスして攻撃を開始することが困難になります。
• 分離の強化。SEV-SNPは、各VM専用のセキュアなメモリ空間を作ります。このため、ハイパーバイザーが侵害を受けても、VMが別のVMのメモリにアクセスすることはできません。
• パフォーマンスの向上。SEV-SNPは仮想化アプリケーションのパフォーマンスを向上させます。SEV-SNPによりハイパーバイザーがセキュリティ処理の一部をプロセッサにオフロードできるからです。

SEV-SNPとコンフィデンシャルコンピューティングの関係

コンフィデンシャルコンピューティングとは、ハードウェアベースのTrusted Execution Environment（TEE：信頼できる実行環境）で使用中のデータを保護することです。TEEとは、使用中のアプリケーションとデータの不正アクセスや変更を防止する、安全な分離された環境です。このセキュリティ基準はConfidential Computing Consortiumによって定義されています。エンドツーエンドの暗号化は次の3つの状態から構成されます。

• 保存時の暗号化は、保存中のデータを保護します。
• 転送中の暗号化は、データが2つの地点の間を移動するときにデータを保護します。
• 使用中の暗号化は、処理中のデータを保護します。

コンフィデンシャルコンピューティングはエンドツーエンドの暗号化の最終部分、つまり使用中の暗号化を提供します。

SEV-SNPは、データ返信やメモリの再マッピングなどハイパーバイザーベースの攻撃に対する保護を強化します。これらの保護により、安全で分離された実行環境が確立され、全体的なセキュリティが強化されます。

さらにSEV-SNPには、さまざまなVMの使用モデルに対応するオプションのセキュリティ拡張機能があります。割り込み動作に関わる保護も強化し、最近発見されたサイドチャネル攻撃に対する防御力を高めています。

Google CloudでSEV-SNP VMを利用するには

Google Cloudコンソールで、「Compute Engine」と「Create a Instance（インスタンスを作成）」を選択します。必ず「N2D」マシン（AMD EPYC）を選択してください。

「Boot disk（ブートディスク）」で、Ubuntu 22.04 LTS Pro Server（x86 / 64、amd64 jammy pro server）などのSEV-SNP互換オペレーティングシステムを選択します。

「Confidential VM（コンフィデンシャルVM）」サービスを有効化します。

「CREATE（作成）」をクリックします。SEV-SNP VMをご活用ください！