← Zurück zum Leitfaden

Strategie zur DORA-Erfüllung mit AMD SEV-SNP

AMD SEV-SNP (Secure Encrypted Virtualization-Secure Nested Paging) bietet eine technische Lösung zum Schutz von "Data-in-Use", indem ganze virtuelle Maschinen (VMs) hardwarebasiert isoliert und verschlüsselt werden.

Kernfunktionen

  • Speicherverschlüsselung (SEV)

    Jede vertrauliche VM erhält einen einzigartigen, von der CPU verwalteten Schlüssel, der alle Daten im Arbeitsspeicher automatisch verschlüsselt.

  • Integritätsschutz (SNP)

    Die SNP-Erweiterung schützt aktiv vor Manipulationen wie dem Wiederholen, Verändern oder Umsortieren von Daten durch den Hypervisor und stellt so die Integrität sicher.

  • Isolation

    Die Technologie errichtet eine undurchdringliche, hardwarebasierte Barriere zwischen der VM und der Management-Ebene, sodass weder Cloud-Anbieter noch interne Admins auf Speicherinhalte zugreifen können.

  • Kryptographische Attestierung

    Ein fälschungssicherer, von der Hardware signierter Bericht kann angefordert werden, um gegenüber Aufsichtsbehörden den Schutz der VM nachzuweisen.

Anwendungsstrategien

In der Cloud

Finanzinstitute können die Verarbeitung sensibler Daten in "Confidential VMs" verlagern, die auf SEV-SNP basieren. Der Cloud-Anbieter hat durch die Hardware-Barriere keinen Einblick in die "Data-in-Use", und die Attestierung liefert den für DORA erforderlichen Nachweis.

Im eigenen Rechenzentrum

Durch die Implementierung einer internen "Zero-Trust"-Architektur mit SEV-SNP kann eine technische Trennung zwischen Infrastruktur-Management und Applikations-Datensicherheit erzwungen werden.

Umsetzung bei führenden Cloud-Anbietern

  • Microsoft Azure: Bietet "Confidential VMs" (DCasv5/ECasv5-Serien) auf Basis von AMD SEV-SNP an, kombiniert mit dem "Microsoft Azure Attestation"-Dienst für den DORA-Nachweis.
  • Google Cloud Platform (GCP): Integriert SEV-SNP in "Confidential VMs" (N2D/C2D-Serien), die eine einfache "Lift-and-Shift"-Migration von Workloads ermöglichen.
  • Amazon Web Services (AWS): Bietet AMD SEV-SNP als Opt-in-Feature für EC2-Instanzen (z.B. M6a, C6a) an, wodurch Kunden die volle Kontrolle behalten und Attestierungsberichte selbst verifizieren können.