Nested SEV:ネストした仮想化へのAMD SEVの適用

抄録

パブリッククラウドの仮想マシン(VM)上で重要なデータを扱うと,クラウドの内部犯などから VM 内の機密情報を盗まれる可能性がある.このリスクを低減するために,AMD プロセッサでは SEV と呼ばれる VM のメモリを透過的に暗号化するセキュリティ機構が提供されている.一方,クラウドにおいて VM の中でVMを動作させるネストした仮想化を用いた様々なシステムが提案されているが,ネストした仮想化を用いるシステムには SEV を適用することができない.本稿では,ネストした仮想化に SEV を組み合わせることを可能にする Nested SEV を提案する.SEV の適用方法によって 4 種類のシステム構成が考えられるため,Nested SEV は透過的 SEV,SEV パススルー,SEV 仮想化の 3 つの方式を提供する.透過的 SEV は外側の VM に適用されている SEV の機能を用いて内側の VM のすべてのメモリを暗号化する.SEV パススルーは内側の VM に外側の VM の SEV をそのまま適用する.SEV 仮想化は内側の VM に専用の仮想 SEV を適用する.これらを Xen,KVM,BitVisor に実装し,I/O 性能を調べる実験を行った.

収録刊行物

キーワード

詳細情報 詳細情報について

問題の指摘

ページトップへ