No ano passado, com o lançamento dos processadores AMD EPYC 7003 "Milan", um dos novos recursos de segurança foi o SEV-SNP , ou a atualização "Secure Nested Paging" para a funcionalidade Secure Encrypted Virtualization que foi construída com as gerações EPYC sucessivas. Embora a AMD tenha publicado patches de kernel fora da árvore em um repositório do GitHub para habilitar o SEV-SNP e tenha enviado várias revisões para eles na lista de discussão do kernel, um ano depois finalmente está chegando à linha principal com o kernel Linux 5.19.
O kernel Linux 5.19 a ser lançado no final deste verão oferecerá suporte AMD SEV-SNP sem ter que recorrer a patches em seu kernel ou usar qualquer código fora da árvore. Como escrevi no início de abril, parecia que o SEV-SNP estava finalmente pronto para upstream com o Kernel Linux 5.19. Agora, no primeiro dia da janela de mesclagem da v5.19, os patches SEV-SNP foram enviados.
As proteções de integridade de memória baseadas em hardware fornecidas pelo AMD SEV-SNP podem ajudar a evitar ataques mal-intencionados baseados em hipervisor e outras funcionalidades além do que já está disponível com a Virtualização Criptografada Segura de CPUs EPYC anteriores.
Esse pull request é o que tem a habilitação inicial de SEV-SNP para Linux 5.19. É lamentável que tenha demorado mais de um ano após o lançamento do EPYC Milan para que essas menos de 4k linhas de código fossem enviadas para o kernel, mas pelo menos está aqui agora e após extensa revisão/teste. Muitos hiperescaladores e outros grandes clientes EPYC provavelmente já estão usando o SEV-SNP corrigindo suas compilações de kernel, mas é ótimo ter tudo isso alinhado para tornar a disponibilidade do SEV-SNP mais difundida e fácil de manter. Como anteriormente com SEV-ES, demorou muito tempo após o lançamento antes de ser mainline. Esta é uma das áreas em que a AMD ainda tem espaço para melhorias com seu suporte ao Linux, está lançando esses novos recursos de CPU com mais pontualidade - enquanto a Intel é conhecida por sua habilitação oportuna e por obter recursos de CPU de próxima geração geralmente no kernel antes de o envio de hardware. Para processadores EPYC Zen 4, já venho relatando várias adições de ID e trabalho básico de habilitação há meses, mas até agora não vi nenhum código de recurso importante chegar à lista de discussão do kernel para iniciar o processo de revisão/upstreaming.
Atualização: Como outro exemplo da abordagem de habilitação oportuna da Intel... Ontem o Intel TDX foi enviado para o Kernel Linux 5.19 também com o Trust Domain Extensions sendo a alternativa SEV da Intel que vem com o Xeon Scalable Sapphire Rapids.
Até a próxima !!
Nenhum comentário:
Postar um comentário