Confira !1
Embora as modernas CPUs AMD EPYC suportem Virtualização Criptografada Segura (SEV) e a Intel tenha trabalhado mais recentemente no MKTME por oferecer similarmente criptografia de memória total suportada por hardware, um engenheiro de código aberto da Intel propôs uma solução baseada em software para suporte de memória protegido Virtualização KVM.
A extensão de memória protegida proposta pela KVM é uma solução baseada em software para proteger a memória do convidado contra acesso não autorizado ao host, pelo menos de forma parcial. Isso evita que o kernel do host vaze acidentalmente dados do convidado, hospede o acesso do espaço do usuário aos dados do convidado e soluções semelhantes. Porém, diferentemente do Intel MKTME e do AMD SEV, isso não fornece proteção total contra o comprometimento do kernel do host ou ataques baseados em hardware.
Basicamente, essa extensão de memória protegida por KVM ofereceria algumas salvaguardas adicionais em um ambiente virtualizado, mas não tão completas quanto as proteções modernas baseadas em hardware.
Atualmente, essa extensão KVM está sendo proposta sob um sinalizador "solicitação de comentários" e os patches conscientemente precisam de melhorias adicionais antes de qualquer mainlining em potencial. Mais detalhes sobre essa proposta de segurança por meio deste tópico da lista de discussão do kernel de Kirill Shutemov, da Intel.
Fonte
Até A próxima !!
Nenhum comentário:
Postar um comentário