FERRAMENTAS LINUX: O Kernel ASI ainda em desenvolvimento para proteção contra vazamentos de dados de Hyper Threading

quarta-feira, 26 de agosto de 2020

O Kernel ASI ainda em desenvolvimento para proteção contra vazamentos de dados de Hyper Threading



Confira !!



Na Linux Plumbers Conference desta semana, os engenheiros da DigitalOcean forneceram uma atualização sobre o seu trabalho CoreScheduling na era das vulnerabilidades que afetam o Hyper Threading . Enquanto isso, a Oracle apresentou hoje no LPC2020 sua funcionalidade Kernel Address Space Isolation (ASI) para lidar com o vazamento de dados do Hyper Threading de uma maneira diferente, mas os custos de desempenho ainda estão sendo avaliados.

Os engenheiros da Oracle há mais de um ano têm trabalhado no Kernel ASI para evitar vazamento de dados quando o Hyper Threading está vulnerável a L1 Terminal Fault (L1TF) em CPUs Intel. Enquanto o trabalho da DigitalOcean no agendamento do núcleo é garantir que apenas aplicativos confiáveis ​​estejam em threads irmãos de um núcleo, o ASI é sobre isolar o espaço de endereço entre diferentes áreas do kernel para evitar vazamento de bits como resultado de ataques como L1TF ou Foreshadow.

Uma das principais áreas de interesse da Oracle com Isolamento de Espaço de Endereço é a virtualização de Máquina Virtual baseada em Kernel (KVM) para garantir que não haja vazamento de espaço de endereço entre VMs convidadas ou do host. No entanto, a Oracle reconhece que o agendamento de núcleo é melhor para mitigar ataques de convidado a convidado ou garantir que VMs não compartilhem núcleos físicos, enquanto o ASI está mais alinhado com a mitigação de ataques de convidado a host.

Uma quinta versão do Isolamento de Espaço de Endereço da Oracle para o kernel Linux está sendo preparada. Com a próxima série de patches está a integração KVM ASI, bem como o ASI Lockdown. O ASI Lockdown força todos os threads da CPU de um núcleo da CPU a usar um ASI especificado.

Os desenvolvedores sentem que o código ASI principal agora está estável, mas mais testes no ASI Lockdown e KVM ASI ainda são necessários. Um pouco preocupante é que o impacto no desempenho de KPTI e KVM ainda é necessário para ver os custos de desempenho para essa camada de proteção.



O conjunto de slides LPC2020 com a atualização do ASI pode ser encontrado aqui (PDF).


Até a próxima !!

Nenhum comentário:

Postar um comentário