インテル® Trust Domain Extensionsとは (インテル® TDX)

インテル® TDXとは何ですか?

インテル® Trust Domain Extensions (インテル® TDX) は、インテルの最新の機密コンピューティング・テクノロジーです。このハードウェア・ベースの信頼できる実行環境 (TEE) は、機密データとアプリケーションを不正アクセスから保護するために設計されたハードウェア分離仮想マシン (VM) であるトラスト・ドメイン (TD) の導入を容易にします。

CPU で測定された インテル® TDX モジュールにより、インテル® TDXが可能になります。このソフトウェア・モジュールは、ピア仮想マシン・マネージャー (VMM) として新しい CPU セキュア・アービトレーション・モード (SEAM) で実行され、既存の仮想化インフラストラクチャーを使用して TD の開始と終了をサポートします。モジュールは、SEAM 範囲レジスター (SEAMRR) によって識別される予約済みメモリー空間でホストされます。

インテル® TDX は、メモリーの管理と暗号化にハードウェア拡張機能を使用し、TD CPU 状態の機密性と整合性の両方を非 SEAM モードから保護します。

インテル® TDX、SEAM、ゲスト物理アドレス (GPA) の共有ビット、セキュリティで保護された拡張ページ テーブル (EPT)、物理アドレス メタデータ テーブル、インテル® Total Memory Encryption – Multi-Key (インテル® TME-MK)、リモート構成証明などのアーキテクチャ要素を使用します。

インテル® TDXにより、データの完全性、機密性、信頼性が確保されるため、エンジニアや技術プロフェッショナルは安全なシステムを構築および維持し、仮想化環境における信頼性を高めることができます。

主な利点

• 分離: 不正アクセスに対する堅牢なデータ保護のためのハードウェア レベルの VM 分離により、データの機密性と整合性が確保されます。
• 機密性:許可されていないソフトウェアまたは変更されたソフトウェアは、機密データを読み込んだりアクセスしたりすることを禁じられています。メモリ内のデータは、クラウド サービス プロバイダー (CSP) やオペレーター、および共有アプリケーションに対して非透過的です。
• 整合性: 構成証明は、ハードウェアとソフトウェアの構成とポリシーが期待どおりであることを確認し、サーバーが信頼できることをワークロード所有者に保証します。