Come abbiamo accennato all'inizio, la sicurezza dei dati è una tema che è ormai di importanza primaria per le aziende. I processori della serie EPYC affrontano il problema proponendo un co-processore dedicato già all'interno del Die che si occupa di tutta una serie di funzioni.
In primo luogo, è disponibile una funzione di criptazione del contenuto di tutta la RAM (SME, Security Memory Encryption) che rende molto più difficile il compito dei malware che usino vettori poco convenzionali (e per questo meno semplici da identificare) che mirino a sfruttare falle nella gestione della memoria.
Il tutto avviene in modo trasparente, con la semplice necessità di attivare o disattivare una opzione del BIOS. L'impatto sulle prestazioni è dichiarato praticamente nullo.
Durante la conferenza abbiamo chiesto lumi in proposito e ci è stato risposto che i risultati dei benchmark pubblicati sono tutti relativi a test in cui questa funzione era stata disabilitata e che di solito l'impatto nelle prestazioni si traduce in un aumento della latenza che porta a una riduzione media nell'ordine del 1-2%.
Se questo dato resterà valido anche in ambienti di produzione, è chiaramente un ottimo risultato.
La SME ha anche risvolto dedicato alle macchine virtuali con una funzione abbreviata in SEV (Secure Encrypted Virtualization) che rende possibile assegnare una chiave crittgrafica diversa a ogni virtual machine attiva.
In questo modo, ogni macchina virtuale è isolata dal punto di vista crittografico dalle altre e, più importante, dall'hypervisor e dall'amministratore.
L'ultima funzione relativa alla sicurezza a livello hardware è quella che verifica ad ogni accensione della macchina che il firmware sia ancora quello autorizzato a girare e che non ci siano state manomissioni. Una funziona meno innovativa delle altre viste finora, ma comunque molto utile al giorno d'oggi.