Parece que o código inicial de ativação do kernel Linux em torno do Trust Domain Extensions (TDX) será implementado para o ciclo Linux 5.19 neste verão.
A Intel começou a falar sobre Trust Domain Extensions (TDX) em 2020 para proteger melhor as máquinas virtuais com novos recursos de hardware semelhantes ao Secure Encrypted Virtualization (SEV) com CPUs AMD EPYC.
Desde 2020, tem havido trabalho no suporte do compilador para novas instruções TDX, juntamente com o início do trabalho nas alterações do TDX para suporte ao kernel do Linux . Em algumas áreas, isso também significa o compartilhamento de código entre AMD SEV e Intel TDX .
Agora, com o ciclo do Kernel Linux 5.19 com sua janela de mesclagem aberta no final de maio, parece que nesse ponto o suporte ao Intel TDX será mesclado. A notícia desta semana foi a ramificação x86/tdx do TIP criada com as várias mudanças lideradas pela Intel no kernel em torno do suporte TDX.
Com os patches agora como parte de uma ramificação tip/tip.git, isso significa impedir qualquer confusão de última hora que o código será enviado para o próximo ciclo do kernel (Linux 5.19). O grande lote de patches x86/tdx inclui detecção para Trust Domain Extensions, suporte MSR e HLT para convidados TDX, manipulação de MMIO no kernel, suporte a hiperchamadas KVM, suporte para memória compartilhada TDX e uma variedade de outras alterações de kernel necessárias para suportar este recurso de segurança Intel. A documentação do TDX da Intel resume a nova funcionalidade de segurança como: "O Intel Trust Domain Extensions (Intel TDX) está introduzindo novos elementos arquitetônicos para ajudar a implantar máquinas virtuais (VMs) isoladas por hardware chamadas de domínios de confiança (TDs). O Intel TDX foi projetado para isolar VMs do gerenciador de máquina virtual (VMM)/hipervisor e qualquer outro software não TD na plataforma para proteger TDs de uma ampla variedade de softwares. "
Como parte da fila de patches x86/tdx do TIP, há esta documentação que descreve a arquitetura do kernel para TDX.
Existem outros patches Linux ainda pendentes em torno do TDX, como os patches de atestado de convidado TDX recentemente postados para verificar a confiabilidade de servidores de terceiros. patches também podem ser usados no Linux 5.19, mas não fazem parte deste branch Git.
Espera-se que o Intel Trust Domain Extensions seja lançado com o Xeon Scalable " Sapphire Rapids ", então o tempo deve funcionar bem, considerando que a ampla disponibilidade do SPR parece ainda demorar alguns meses. Pelo menos a Intel está trabalhando nesse código há algum tempo e fazendo upstream pouco antes do lançamento. Enquanto isso, esta semana, o TIP também posicionou o AMD SEV-SNP para o upstream no Kernel Linux 5.19 também. A diferença é que a atualização AMD SEV-SNP "Secure Nested Paging" para Secure Encrypted Virtualization estreou no ano passado com os processadores EPYC 7003 "Milan", após os quais a AMD começou a postar os patches Linux SEV-SNP publicamente e após um ano de trabalho pós-lançamento é agora pronto para entrar na linha principal ao mesmo tempo que o Intel TDX para as futuras CPUs da empresa azul. Então, mais uma vez, a Intel ganha um ponto extra por sua pontualidade de código aberto/Linux de suporte a novo hardware, além de todos os outros patches Sapphire Rapids que eles têm enviado para o kernel Linux nos últimos dois anos, além de ter o compilador Sapphire Rapids suporte introduzido desde 2020.
Até a próxima !!
Nenhum comentário:
Postar um comentário