Confira !!
No ano passado, a Intel detalhou Trust Domain Extensions (TDX) como um novo meio de proteger melhor as máquinas virtuais com isolamento assistido por hardware entre VMs e também do VMM / hipervisor. Pouco depois, a Intel começou a postar patches de ativação TDX e esse trabalho continuou enquanto ainda está em andamento.
A Intel lançou as novas instruções TDX nos compiladores de código-fonte aberto e, em seguida, ainda está em andamento a ativação do kernel do Linux. A Intel já havia enviado sua habilitação inicial de extensões de domínio de confiança e várias outras séries de patches relacionadas. Agora, porém, eles postaram seus patches mais recentes sobre o suporte ao gerenciamento de memória compartilhada. Com todas essas séries de patches publicadas, neste ponto é suficiente obter um convidado TDX totalmente funcional ao executar em processadores Intel Xeon não relacionados.
Os patches de gerenciamento de memória compartilhadaenviado na semana passada é um meio de compartilhar com segurança a memória do convidado com o VMM (hipervisor) quando necessário pelo convidado. O VMM é considerado uma entidade não confiável pela TDX e, portanto, não permite que por padrão acesse a memória do VMM, portanto, alterações especiais são necessárias para o manuseio das extensões de domínio confiável.
Dado o tempo e a aparente pressa em torno da habilitação do TDX,no Linux, não está claro se todos esses patches estarão prontos a tempo para o próximo ciclo 5.14 e, portanto, podem ser arrastados para uma versão posterior do kernel. Eu também não vi a Intel confirmar se o TDX será encontrado no Sapphire Rapids este ano ou uma geração mais tarde com o Granite Rapids, então o tempo do kernel pode ainda funcionar bem.
Até a próxima !!
Nenhum comentário:
Postar um comentário