El año pasado, Intel detalló Trust Domain Extensions (TDX) como un nuevo medio para mejorar protección de máquinas virtuales con aislamiento asistido por hardware entre máquinas virtuales, así como del VMM/hipervisor. Poco después, Intel comenzó a publicar parches de habilitación de TDX y ese trabajo ha continuado mientras aún está en curso.
Intel consiguió las nuevas instrucciones TDX dentro de los compiladores de código de fuente abierta y aún está en curso la habilitación del kernel de Linux. Intel ya había enviado su habilitación inicial de Trust Domain Extensions y varias otras series de parches relacionados. Ahora, aunque han publicado sus últimos parches sobre el soporte de administración de memoria compartida. Con todas estas series de parches publicados, en este punto es suficiente obtener un invitado TDX completamente funcional cuando se ejecuta en procesadores Intel Xeon no relacionados.
La gestión de memoria compartida parches enviados La semana pasada está respaldando un medio para compartir de forma segura la memoria del invitado con el VMM (hipervisor) cuando el invitado lo necesite. TDX considera que VMM es una entidad que no es de confianza y, por lo tanto, no le permite acceder de forma predeterminada a la memoria VMM, por lo que se necesitan cambios especiales para el manejo de Trust Domain Extensions.
Dado el tiempo y la poca prisa aparente en torno a la habilitación de TDX de Linux, no está claro que todos estos parches estarán listos a tiempo para el próximo ciclo 5.14 y, por lo tanto, pueden ser arrastrados a una versión posterior del kernel. Tampoco he visto a Intel confirmar si TDX se encontrará en Sapphire Rapids este año o una generación más tarde con Granite Rapids, por lo que la sincronización del kernel puede terminar funcionando bien.
