什麼是Intel® Trust Domain Extensions （Intel® TDX）

什麼是 Intel® TDX？

Intel® Trust Domain Extensions（Intel® TDX）是 Intel 最新的機密運算技術。這種基於硬體的可信執行環境 （TEE） 有助於信任域 （TD） 的部署，這些信任域是硬體隔離的虛擬機 （VM），旨在保護敏感數據和應用程式免遭未經授權的訪問。

CPU 測量Intel® TDX模組可實現Intel® TDX。該軟體模組作為對等虛擬機管理器（VMM）在新的CPU安全仲裁模式（SEAM）中運行，並支援使用現有虛擬化基礎架構的TD進入和退出。該模組託管在由 SEAM 範圍寄存器 （SEAMRR） 標識的保留記憶體空間中。

Intel® TDX使用硬體擴展來管理和加密記憶體，並保護TD CPU狀態的機密性和完整性免受非SEAM模式的影響。

Intel® TDX使用架構元素，例如 SEAM、訪客物理位址 （GPA） 中的共用位、安全擴展頁表 （EPT）、物理位址元數據表、Intel® Total Memory Encryption – Multi-Key （Intel® TME-MK） 和遠程證明。

Intel® TDX 可確保數據的完整性、機密性和真實性，使工程師和技術專業人員能夠創建和維護安全的系統，並增強對虛擬化環境的信任。

主要優勢

• 隔離：硬體級 VM 隔離，提供強大的數據保護，防止未經授權的訪問，確保數據的機密性和完整性。
• 機密性：禁止未經授權或更改的軟體載入和訪問機密數據。記憶體中的數據對於雲端服務提供者 （CSP） 或營運商和共用應用程式是不透明的。
• 完整性：證明確認硬體和軟體配置和策略符合預期，並向工作負載擁有者保證伺服器值得信賴。