Uma das adições com os processadores EPYC 7003 "Milan" introduzidas no ano passado foi o SEV-SNP como a adição "Secure Nested Paging" à Virtualização Criptografada Segura da AMD encontrada com os processadores EPYC. Embora eles tenham mantido um repositório de origem Linux fora da árvore com os patches SEV-SNP, o kernel principal ainda não tem suporte para esses recursos de segurança mais recentes, mas o código continua passando por revisões e revisões para o seu eventual upstream.
Sobre o "Estado Criptografado" do SEV e SEV-ES que foi introduzido com os processadores EPYC anteriores, o SEV-SNP é capaz de oferecer maior integridade com proteção de reprodução, proteção contra a corrupção de dados e evitar uma variedade de outros ataques possíveis a VMs.
A AMD não começou a publicar seus patches de kernel SEV-SNP publicamente até depois que os processadores da série EPYC 7003 foram anunciados pela primeira vez e, portanto, o processo em andamento ainda para obter o suporte do hipervisor convidado e KVM quadrado e upstream para que os usuários do servidor EPYC possam executar fora de um kernel da linha principal sem depender de nenhum kernel com patch de distribuição ou outras compilações de kernel de terceiros para aproveitar os recursos de segurança mais recentes no EPYC.
Foram enviados na sexta-feira os últimos patches de convidados. O guest support SEV-SNP está agora em sua nona revisão para o código necessário para ser executado nos kernels convidados da VM para fazer uso dessas fortes proteções de integridade de memória e outros recursos. Como nas séries anteriores, esse suporte do SEV-SNP ainda não está completo, mas espera-se que recursos como proteção contra interrupção sejam adicionados após o código SEV-SNP inicial ser aceito na linha principal.
O suporte ao convidado do SEV-SNP v9 está agora disponível para revisão na lista de discussão do kernel. O suporte ao hipervisor KVM para o SEV-SNP que é mantido como uma série de patches separada e não foi atualizado na semana passada. É lamentável que demore um ano após o lançamento do EPYC Milan o mais cedo possível antes que esse código seja totalmente atualizado, mas, novamente, às vezes vimos a Intel também ficando atrasada em seu suporte ao kernel principal para recursos de CPU Intel como SGX e agora o trabalho contínuo com TDX. Em qualquer caso, pelo menos o código uma vez mainlined deve estar em boa forma.
Os usuários do EPYC podem obter os patches do kernel SEV-SNP por meio deste repositório do GitHub como outra fonte fácil se desejar girar seu próprio kernel.
Enquanto isso, no lado da Intel, esta semana trouxe os patches v2 do Intel TDX guest core support. Esta é a série de extensões de domínio de confiança da Intel para as VMs convidadas confidenciais do host e ataques físicos. O TDX da Intel fornece funcionalidade semelhante ao AMD SEV para as futuras CPUs da Intel.
Até a próxima !!
Nenhum comentário:
Postar um comentário