FERRAMENTAS LINUX: O AMD SEV-SNP parece pronto para o upstream no Kernel Linux 5.19

sábado, 9 de abril de 2022

O AMD SEV-SNP parece pronto para o upstream no Kernel Linux 5.19

 

Confira !!

Introduzido no ano passado com os processadores AMD EPYC 7003 "Milan" foi o SEV-SNP como a mais recente iteração de sua tecnologia Secure Encrypted Virtualization. O SEV-SNP adiciona proteções e salvaguardas de integridade adicionais como parte desta extensão "Secure Nested Paging" do SEV. Finalmente, com o Linux 5.19, o suporte SEV-SNP deve estrear no kernel principal.

Logo após a introdução da série EPYC 7003 em março de 2021, a AMD começou a enviar patches do Linux para SEV-SNP. Eles continuaram no ano passado enviando versões atualizadas dos patches para implementar mais funcionalidades suportadas e abordar o feedback dos desenvolvedores. Voltando ao lançamento do hardware, eles também hospedam esse código em um repositório GitHub para clientes AMD EPYC que desejam usar sua compilação / patches de kernel suportados para criar um kernel com essa funcionalidade além do código SEV/SEV-ES já no upstream . As proteções de integridade de memória baseadas em hardware podem ajudar a evitar ataques mal-intencionados baseados em hipervisor e outras funcionalidades além do que está disponível com a Virtualização Criptografada Segura de CPUs EPYC anteriores.

Depois de passar por várias rodadas de revisão (mais de 12), parece que o código SEV-SNP inicial com suporte funcional ao sistema operacional convidado está pronto para o que chegará ao kernel Linux 5.19 neste verão.

Uma tabela AMD comparando SEV, SEV-ES "Estado criptografado" e SEV-SNP "Paginação aninhada segura" que vem se acumulando em gerações sucessivas de processadores EPYC.


Na fila da manhã de ontem no Tbranch x86/sev do TIP está o driver convidado AMD SEV-SNP e outro código de recurso SEV-SNP. Com este código agora parte do TIP.git, é o último trampolim antes de ser enviado na próxima janela de mesclagem como parte das várias solicitações de pull do recurso TIP... começa.





Esta é toda a série de patches de convidado SEV-SNP que foi transportada através da ramificação sev-snp-v12 do GitHub da AMDESE e agora faz parte do TIP x86/sev até o ciclo Linux 5.19 acontecer - exceto quaisquer problemas de última hora que possam levar para esses patches serem descartados do TIP / x86/sev. Ainda parece haver áreas para melhorias com este código SEV-SNP, como o suporte ao modo "validação lenta" para páginas onde, agora, tudo é feito sob pré-validação. A segurança de interrupção é outro recurso do SEV-SNP que ainda precisa ser abordado com patches futuros.

Mais detalhes sobre as proteções AMD SEV-SNP com processadores da série EPYC 7003 podem ser encontrados no whitepaper da AMD. É lamentável que tenha levado mais de um ano após o lançamento para esta funcionalidade SEV-SNP torná-la um kernel principal, mas pelo menos parece que o suporte inicial estará em boa forma neste verão e alinhado a tempo para o outono Linux atualizações de distribuição e antes do lançamento dos processadores EPYC de última geração.












Até a próxima !!



Nenhum comentário:

Postar um comentário