SEV는 가상 머신 기반의 컨피덴셜 컴퓨팅 솔루션입니다. 컨피덴셜 VM의 경계 내에서 신뢰할 수 있는 실행 환경을 생성함으로써 사용 중인 데이터를 보호합니다. SEV는 가상 머신마다 하나의 키를 사용하여 게스트와 하이퍼바이저를 서로 격리합니다. 키는 AMD 보안 프로세서에 의해 관리됩니다. SEV는 게스트 운영 체제 및 하이퍼바이저에서 활성화가 필요합니다. 게스트 변경 사항을 통해 VM은 메모리 내에서 암호화할 페이지를 지정할 수 있습니다. 하이퍼바이저 변경은 하드웨어 가상화 명령어 및 AMD 보안 프로세서와의 통신을 사용하여 메모리 컨트롤러에서 적절한 키를 관리합니다. AMD는 각 세대의 AMD EPYC 서버 CPU에 새로운 기능이 추가되도록 SEV를 발전시킴으로써 진화하는 보안 환경에 대응할 수 있도록 지원합니다. 그러한 개선 사항이 아래에 설명되어 있습니다.

암호화된 상태(ES) – 이전 명칭은 SEV-ES

SEV-ES는 VM이 실행을 멈출 때 모든 CPU 레지스터 콘텐츠를 암호화합니다. 이렇게 하면 CPU 레지스터의 정보가 하이퍼바이저와 같은 구성 요소로 유출되는 것을 방지할 수 있으며, CPU 레지스터 상태에 대한 악의적인 수정도 감지할 수 있습니다.

보안 네스티드 페이징(SNP) – 이전 명칭 SEV-SNP

SEV-SNP는 데이터 재생, 메모리 리매핑 등 악성 하이퍼바이저 기반 공격을 방지하기 위해 강력한 메모리 무결성 보호 기능을 추가함으로써 격리된 실행 환경을 만듭니다. 또한 SEV-SNP는 추가적인 VM 사용 모델을 지원하고, 인터럽트 동작에 대한 강력한 보호 기능을 제공하고, 최근에 공개된 사이드 채널 공격에 대한 보호 기능을 강화하도록 설계된 몇 가지 추가적인 보안 개선 옵션을 제공합니다.

신뢰할 수 있는 I/O(TIO) – 이전 명칭 SEV-TIO

SEV-TIO는 SEV에 의해 생성된 신뢰받는 실행 환경(Trusted Execution Environment, TEE)을 확장하여 PCI-SIG 정의 TEE 장치 인터페이스 보안 프로토콜(TDISP)을 사용하는 PCIe 장치(NIC, 가속기, 스토리지)까지 포함하도록 만듭니다. TDISP는 스스로 인증하고, PCIe 패브릭에서 트래픽 가로채기 또는 위장을 방지하고, 구성에 대한 테스트를 수행하고, 호스트 드라이버에 사용할 수 있는 장치 제어로부터 게스트 워크로드를 격리할 수 있는 새로운 프로토콜과 장치 기능을 정의합니다.

AMD 투명 보안 메모리 암호화(TSME)

TSME는 단일 키를 사용하여 시스템 메모리를 암호화합니다. 키는 부팅 시 AMD 보안 프로세서에 의해 생성됩니다. SME는 시스템 BIOS 또는 운영 체제에서 활성화가 필요합니다. BIOS에서 활성화하면 메모리 암호화는 투명하게 작동하며 모든 운영 체제에서 사용할 수 있습니다.

각 AMD EPYC™ 서버 CPU 세대별 SEV 기능 및 지원 사양

AMD EPYC 서버 CPU 세대 새로운 기능 새로운 지원 사양
AMD EPYC™ 7001 컨피덴셜 VM을 통해 암호화된 상태 128비트 AES XEX 암호화
128개 스레드
15개 키
AMD EPYC™ 7002 암호화된 상태(ES)를 통해 암호화된 CPU 레지스터 256개 스레드
509개 키
강화된 확장성
AMD EPYC™ 7003 보안 네스티드 페이징(SNP)을 통한 하이퍼바이저 격리 및 게스트 증명 지원
AMD EPYC™ 8004 및 9004 CXL 연결 메모리의 메모리 암호화 더욱 강력한 256비트 AES-XTS 암호화
512개 스레드. 1006개 키. 최대 63개의 다중 호스트 키 지원
AMD EPYC™ 8005 분할형 RMP
보안 AVIC
성능 카운터(PMC) 가상화
게스트 가로채기 제어
암호문 숨기기
AMD EPYC™ 9005 TDISP(이전의 SEV-TIO)를 통한 신뢰할 수 있는 I/O

백서 및 사양

문서 설명 개정 일자
SEV-TIO 펌웨어 인터페이스 사양 SEV 펌웨어에 대한 신뢰할 수 있는 I/O 확장을 설명합니다. TIO 확장은 게스트가 게스트 비공개 주소 공간 내에서 신뢰할 수 있는 장치에 바인딩하고 사용할 수 있는 메커니즘을 제공합니다. 0.91 2025년 7월
VirTEE/SEV를 사용하는 Sev-SNP 플랫폼 증명 VirTEE/SEV 크레이트는 3세대 이상 AMD EPYC 프로세서에 탑재된 AMD 보안 프로세서와 상호 작용할 수 있는, Rust 친화적이고 사용하기 간편한 API를 제공합니다. 1.2 2023년 7월
SEV-TIO-백서 AMD SEV 게스트의 향상된 I/O 성능 및 보안을 위한 신뢰할 수 있는 I/O 기술 개요 2023년 3월
버전형 칩 보증 키(VCEK) 인증서 및 KDS 인터페이스 사양 인증서를 검색하는 데 사용되는 VCEK 인증서 및 KDS 인터페이스를 소개합니다. 1.00 2025년 1월
게스트 하이퍼바이저 통신 블록(GHCB) 표준화 게스트 하이퍼바이저 통신 블록(GHCB) 형식을 표준화하며, 하이퍼바이저와 SEV-ES 게스트 간의 상호 운용성을 지원하기 위해 GHCB에서 제공해야 하는 필수적인 Exit 지원 및 관련 게스트 상태를 정의합니다. 2.04 2025년 1월
SEV 보안 네스티드 페이징 펌웨어 ABI 사양 SNP 활성 게스트를 관리하기 위해 호스트 하이퍼바이저에서 사용할 수 있는 API를 문서화합니다. 1.58 2025년 5월
SVSM 사양 SEV 게스트용 보안 VM 서비스 모듈(SVSM) 1.0 2023년 7월
AMD 메모리 암호화 보안 메모리 암호화(SME) 및 보안 암호 가상화(SEV)를 소개합니다. 2021년 10월
보안 암호 가상화 API 키를 관리하고 호스트 하이퍼바이저와 게스트 VM 메모리 간에 데이터를 안전하게 전송할 수 있도록 호스트 하이퍼바이저에서 사용할 수 있는 API를 문서화합니다. 3.24 2020년 4월
AMD64 아키텍처 프로그래머 설명서 볼륨 2 시스템 소프트웨어에서 관리하는 AMD64 아키텍처의 리소스 및 기능에 대해 설명합니다. 참고 섹션
  • 15.34. 보안 암호 가상화 및
  • 15.35. 암호화 상태(ES)
  • 15.36. 네스티드 페이징
3.44 2026년 3월
AMD SEV-SNP 무결성 보호 등을 통해 VM 격리를 강화합니다. 2020년 1월
OpenStack: AMD SEV 암호화 인스턴스를 실행하는 libvirt 드라이버 AMD의 보안 암호 가상화(SEV) 기술을 사용하여 암호화된 KVM 인스턴스를 Nova libvirt 드라이버에서 실행할 수 있도록 지원하는 데 필요한 작업을 제안합니다. 2019년 1월
SEV-ES로 VM 레지스터 상태 보호 암호화된 상태 SEV-ES 기능, 이 아키텍처의 원리, 암호화된 VM을 추가로 격리하기 위해 제공되는 보호 기능에 대한 기술 개요입니다. 2017년 2월

링크 및 다운로드

링크 설명
https://github.com/AMDESE/AMDSEV 개발 중인 Linux 오픈 소스 코드
컨피덴셜 컨테이너 컨피덴셜 컨테이너(CoCO) 프로젝트
Oracle Linux에서 AMD 보안 메모리 암호화 사용 SME 및 SEV에 대한 Oracle UEK 지원.
SUSE: AMD 보안 암호화 가상화(AMD-SEV) 가이드 SEV의 작동 방식, 이를 활성화 및 구성하는 방법, 이를 사용할 때 비암호 가상화와 비교하여 발생하는 몇 가지 제한 사항 및 제약에 대한 기본적인 이해를 제공합니다.
ask_ark_naples.cert EPYC 7xx1(Naples)에 대한 ASK/ARK 인증서
ask_ark_rome.cert EPYC 7xx2(Rome)에 대한 ASK/ARK 인증서
ask_ark_milan.cert EPYC 7xx3(Milan)에 대한 ASK/ARK 인증서
ask_ark_genoa.cert EPYC 9xx4(Genoa)에 대한 ASK/ARK 인증서
ask_ark_prod_turin.cert EPYC 9xx5(Turin)에 대한 ASK/ARK 인증서
amd_sev_fam17h_model01h_0.17.49.zip SEV 펌웨어 | EPYC 7xx1(Naples)용 SEV 펌웨어 0.17.49 [hex 00.11.31]
amd_sev_fam17h_model3xh_0.24.22.zip SEV 펌웨어 | EPYC 7xx2(Rome)용 SEV 펌웨어 0.24.22 [hex 00.18.16]
amd_sev_fam19h_model0xh_1.58.02.zip SEV 펌웨어 | EPYC 7xx3(Milan)용 SEV 펌웨어 1.58.02 [hex 1.3A.02]
amd_sev_fam19h_model1xh_1.58.02.zip SEV 펌웨어 | EPYC 9xx4(Genoa)용 SEV 펌웨어 1.58.02 [hex 1.3A.02]
amd_sev_fam1ah_model0xh_1.58.06.zip SEV 펌웨어 | EPYC 9xx5(Turin)용 SEV 펌웨어 1.58.06 [hex 1.3A.06]
CEK 인증서 웹 페이지 CEK 인증서를 얻기 위한 대화형 도구입니다. https://kdsintf.amd.com/cek/id/<GetIDValue>로도 사용 가능합니다.
https://github.com/AMDESE/sev-tool [사용 중단] SEV 플랫폼 인증서 관리용 AMD SEV 도구

기술 프레젠테이션

포럼 프레젠테이션 일자
Linux 보안 서밋(2022) 보안 네스티드 페이징 증명: 게스트와의 신뢰 구축 2022년 9월
KVM 포럼(2022) AMD에서 보안 VM 서비스 모듈을 통해 컨피덴셜 게스트 서비스 제공 2022년 9월
Linux 보안 서밋(2021) 보안 네스티드 페이징 개발 업데이트 2021년 9월
KVM 포럼(2021) 보안 네스티드 페이징을 사용하여 악성 하이퍼바이저로부터 보호 2021년 9월
Linux 보안 서밋(2019) 악성 하이퍼바이저 방어를 위한 차세대 x86 기술 2019년 11월
KVM 포럼(2019) 보안 암호 가상화 – 다음 단계 2019년 11월
Linux 보안 서밋(2019) Enarx – AMD의 SEV를 통해 검증된 보안 실행 2019년 8월
Linux 보안 서밋(2018) AMD 암호 가상화 업데이트 2018년 11월
KVM 포럼(2018) 암호화된 상태로 보안 암호 가상화 확장 2018년 10월
Linux 보안 서밋(2017) 암호화된 상태로 VM 레지스터 상태 보호 2017년 9월
Linux 보안 서밋(2016) AMD x86 메모리 암호화 기술 2016년 12월
KVM 포럼(2016) AMD의 가상화 메모리 암호화 기술 2016년 9월
Xen 서밋 AMD의 가상화 메모리 암호화 기술 2016년 9월
Usenix 보안 심포지엄 AMD x86 메모리 암호화 기술 2016년 8월

사용자 가이드

문서 일자
AMD EPYC™ 프로세서로 SEV 사용 2023년 10월
WinMagic 및 AMD EPYC 하드웨어 메모리 암호화로 클라우드 신뢰 문제 해결 2018년 10월
AMD EPYC 하드웨어 메모리 암호화로 클라우드 보안 강화 2018년 10월