Confira !
Além do trabalho liderado pela DigitalOcean na programação principal para tornar o Hyper Threading mais seguro à luz de vulnerabilidades de segurança, os engenheiros da IBM e da Oracle continuam trabalhando no Isolamento do Espaço de Endereço do Kernel para ajudar a evitar vazamentos de dados durante ataques.
Complementando o trabalho "Core Scheduling", o Isolamento do Espaço de Endereço do Kernel também foi discutido na Linux Plumbers Conference desta semana em Lisboa, Portugal. O trabalho de isolamento do espaço de endereço do kernel foi submetido à RFC há alguns meses como um recurso para impedir o vazamento de dados confidenciais durante ataques como L1 Terminal Fault e MDS. O foco neste Kernel ASI é emparelhar com hipervisores como o KVM, além de ser uma estrutura genérica de isolamento de espaço de endereço.
Essa implementação ASI visa impedir ataques de convidado a host e ataques de convidado a convidado através do host em um ambiente virtualizado. Mas o suporte ao KVM ASI não impede ataques de convidado a convidado e eles também recomendam fixar VMs a núcleos físicos distintos de CPU, semelhantes ao trabalho de agendamento de núcleo.
O Isolamento do Espaço de Endereço do Kernel não está pronto para entrar no kernel este ano, mas os desenvolvedores têm mais melhorias planejadas, além de implementar a memória local do kernel e ainda ponderar "a complexidade vale o benefício?" Eles ainda precisam avaliar as implicações de desempenho do Kernel ASI, mas a esperança é que ele ainda tenha um desempenho melhor do que desativar o Hyper Threading.
Mais detalhes sobre o isolamento do espaço de endereço do kernel do Linux por meio deste deck de slides (PDF) da apresentação conjunta Oracle-IBM na LPC 2019.
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário