Confira !!
Além do Kernel Linux 5.10 estar suportando o SEV-ES como o "estado criptografado" para a virtualização criptografada segura do AMD EPYC, este kernel também está adicionando suporte Secure Nested Paging (SNP) ao driver AMD IOMMU como parte de sua segurança SEV-SNP de próxima geração .
AMD SEV-SNP é um esforço para aumentar ainda mais o isolamento da máquina virtual e parece provavelmente ser compatível com os próximos processadores AMD EPYC 7003 "Milan" com base no tempo de seu white paper SEV-SNP original no início deste ano e agora o tempo deste SNP Linux suporte ao kernel. SEV-SNP se baseia no AMD SEV e SEV-ES original para oferecer proteções adicionais de integridade de memória baseada em hardware para evitar ataques baseados em hipervisor.
"O princípio básico da integridade SEV-SNP é que se uma VM é capaz de ler uma página privada (criptografada) da memória, ela deve sempre ler o último valor que escreveu. Isso significa que se a VM escreveu um valor A no local de memória X , sempre que ler X posteriormente, deve ver o valor A ou deve obter uma exceção indicando que a memória não pôde ser lida. O SEV-SNP foi projetado para que a VM não consiga ver um valor diferente do local de memória X " , explica o white paper SEV-SNP de janeiro de 2020.
Com o Kernel Linux 5.10, as alterações do driver IOMMU adicionam o suporte Secure Nested Paging ao código AMD IOMMU. O código do kernel do Linux falhará quando um dispositivo tentar DMA na memória de um convidado. Isso veio com o IOMMU PR para a janela de mesclagem do Kernel Linux 5.10 em andamento.
Até a próxima !!
Nenhum comentário:
Postar um comentário