什么是英特尔®信任域扩展(Intel® TDX)

什么是英特尔®信任域扩展(Intel® TDX)

英特尔®信任域扩展(Intel® TDX) 是一种基于硬件的安全技术,旨在保护虚拟机(VM)免受未经授权的访问,即使是管理虚拟机的系统软件也无法访问。TDX支持一种称为 机密虚拟机的新型工作负载,它们在使用过程中保持数据和代码的私密。

TDX是英特尔更广泛的 机密计算 产品组合的一部分,专注于保护现代多租户云环境中的敏感工作负载。

英特尔® TDX解决的问题

在传统虚拟化模型中:

虚拟机监控程序和主机操作系统对虚拟机内存有完全访问权限。 云运营商和基础设施软件本质上值得信赖。 敏感工作负载(密码密钥、个人数据、专有算法)在运行时被暴露。当工作负载运行在共享或不受信任的环境中时,这种模型会带来风险。

什么是信任域Intel® TDX?

英特尔® TDX引入 了信任域(TD)的概念。

信任域是:

一种特殊的虚拟机类型 由英特尔CPU硬件直接强制和隔离 防止虚拟机监控程序、主机操作系统及其他虚拟机的干扰即使是在TD之外运行最高权限级别的软件,也无法检查或修改其内存或CPU状态。

英特尔® TDX的工作原理(高层次)

硬件强制隔离 英特尔处理器对以下元件进行严格隔离:

信任域 虚拟机监控器 其他系统软件 这减少了对基于软件的安全控制的依赖。

内存加密 每个信任域使用:

专用的硬件管理加密密钥 内存的自动加密与解密 加密内存不能被其他组件读取或重复使用。

受控接口 英特尔® TDX限制并验证以下交互:

信任域与虚拟机管理程序 信任域与物理硬件 仅允许经过批准的操作,从而减少攻击面。

认证 Intel® TDX 支持 远程认证,使工作负载能够证明:

它运行在正宗的英特尔硬件上 ® Intel TDX 保护已启用 初始软件状态被信任 这对于零信任和合规驱动的部署至关重要。

英特尔® TDX与传统虚拟机的比较

特色

传统虚拟机

英特尔® TDX

虚拟机管理信托

完全信任

被视为不被信任

内存可视化

主机可阅读

加密且隔离

隔离

基于软件的

硬件强制执行

云适应性

标准

机密工作负载

英特尔® TDX与英特尔® SGX

特色

英特尔® SGX

英特尔® TDX

保护范围

应用飞区

完整虚拟机

编程模型

专科

标准操作系统和虚拟机

云可扩展性

限量版

主要用途

应用级安全

虚拟机级别安全

Intel® TDX 专为 云规模的机密虚拟机设计,而 SGX 则专注于应用级隔离。

常见用例

英特尔® TDX非常适合:

机密云工作负载 多租户环境 金融服务与医疗数据处理 安全的人工智能与机器学习流水线 跨组织数据共享 自带密钥(BYOK)场景英特尔® TDX的优势

强硬件隔离 对云基础设施信任度下降 与现有基于虚拟机的工作流程的兼容性 提升合规性和数据保护 对机密计算架构的支持

相关推荐

移动4g什么时候出来的 什么时候开始上线的(分别是1G2G3G4G5G什么时候上线的) , 4G 网络,是中国发明的吗
100 个让你惊讶的动物趣闻
365bet官网注册

100 个让你惊讶的动物趣闻

📅 02-09 👁️ 926
《dota2》Ti13直播平台一览
365bet提款要多久

《dota2》Ti13直播平台一览

📅 11-04 👁️ 8498
夺宋免费在线阅读
365bet提款要多久

夺宋免费在线阅读

📅 10-28 👁️ 9853
小米手机音频降噪,轻松搞定音频降噪难题!
365bet提款要多久

小米手机音频降噪,轻松搞定音频降噪难题!

📅 11-04 👁️ 5392
陈安之微信骗术骗局揭秘 陈安之被判刑是几年真的吗陈安之人物资料背景
如何用安卓手机打开mobi格式的电子书?
365哪个才是真的

如何用安卓手机打开mobi格式的电子书?

📅 08-11 👁️ 469
国际足联世界杯决赛圈沙特国家足球队教练一览
365bet提款要多久

国际足联世界杯决赛圈沙特国家足球队教练一览

📅 07-01 👁️ 574
巴西没有……1982年以来,每届世界杯决赛必同时有国米+拜仁球员