Os engenheiros Linux de código aberto da Intel têm trabalhado muito recentemente no suporte do kernel para Trust Domain Extensions (TDX). O Intel TDX tem semelhanças com o Secure Encrypted Virtualization (SEV) da AMD e, em última análise, trata-se de uma melhor proteção das máquinas virtuais. A série de patches mais recente publicada para Linux é o suporte Intel TDX Guest Attestation para poder verificar a confiabilidade de uma VM TDX por meio de um servidor de terceiros.
A Intel TDX visa fornecer máquinas virtuais seguras e isoladas por hardware para proteção contra o sistema host/hipervisor e outros softwares que não sejam de Domínio de Confiança. Os engenheiros da Intel têm estado ocupados preparando o kernel Linux para suportar os vários recursos do TDX, como criptografia de memória de hardware e outros serviços de segurança.
O TDX também suporta a noção de atestado remoto, que está sendo trabalhado com a mais nova série de patches na lista de discussão do kernel Linux. O TDX Remote Attestation oferece maior confiança para garantir que o software seja executado dentro de um Domínio Confiável genuíno.
Houve alguns patches Linux de atestado TDX postados anteriormente, enquanto agora foi resumido na forma de suporte do v1 Add TDX Guest Attestation .
Os patches do kernel estão preparando o suporte ao TD Guest para poder lidar com o atestado contra servidores de terceiros para verificar a confiabilidade. Também com os patches está um exemplo de implementação de espaço de usuário como uma ferramenta para fazer interface com /dev/tdx-attest para adquirir um TD Report do módulo TDX e solicitar uma cotação do VMM. "No TD Guest, o processo de atestado é usado para verificar a confiabilidade do TD guest para os servidores de terceiros. Esse processo de atestado é exigido por servidores de terceiros antes de enviar informações confidenciais para convidados TD. Um exemplo de uso é obter chaves de criptografia do servidor de chaves para montar o rootfs criptografado ou a unidade secundária. Os patches a seguir adicionam o suporte de atestado ao convidado TDX, que inclui driver de interface de usuário de atestado, exemplo de agente de usuário e suporte de hiperchamada relacionado. "
Veja esta série de patches para obter mais detalhes sobre o suporte ao atestado TDX agora em análise.
Até a próxima !!
Nenhum comentário:
Postar um comentário