Uno dei le aggiunte con i processori EPYC 7003″Milano”introdotti l’anno scorso è stata SEV-SNP come aggiunta”Secure Nested Paging”alla virtualizzazione sicura crittografata di AMD trovata con i processori EPYC. Sebbene abbiano mantenuto un repository di sorgenti Linux fuori dall’albero con le patch SEV-SNP, il kernel principale manca ancora del supporto per queste ultime funzionalità di sicurezza, ma il codice continua a subire revisioni e revisioni per il suo eventuale upstream.
Su SEV e SEV-ES”Encrypted State”introdotti con i precedenti processori EPYC, SEV-SNP è in grado di offrire una maggiore integrità con protezione della riproduzione, salvaguardie dal danneggiamento dei dati e respingere una serie di altri possibili attacchi alle macchine virtuali. | upstream in modo che gli utenti del server EPYC possano eseguire un kernel mainline senza fare affidamento su alcun kernel con patch di distribuzione o altre build di kernel di terze parti per sfruttare le ultime funzionalità di sicurezza su EPYC.
Venerdì sono state inviate le ultime patch per gli ospiti. Il supporto guest SEV-SNP è ora fino alla sua nona revisione per il codice necessario per essere eseguito nei kernel guest della macchina virtuale per utilizzare queste forti protezioni dell’integrità della memoria e altre funzionalità. Come per le serie precedenti, questo supporto SEV-SNP non è ancora completo, ma si prevede che funzionalità come la protezione dagli interrupt vengano aggiunte dopo che il codice SEV-SNP iniziale è stato accettato sulla linea principale.
Il supporto SEV-SNP guest v9 è ora disponibile per la revisione su lista di distribuzione del kernel. Il supporto dell’hypervisor KVM per SEV-SNP è mantenuto come una serie di patch separata e non è stato aggiornato la scorsa settimana. È un peccato che passerà al più presto un anno dopo il lancio dell’EPYC Milano prima che questo codice sia tutto in linea, ma a volte abbiamo visto Intel in ritardo anche nel supporto del kernel principale per le funzionalità della CPU Intel come SGX e ora il lavoro in corso con TDX. In ogni caso almeno il codice una volta inserito dovrebbe essere in buone condizioni.
Gli utenti EPYC possono prendere le patch del kernel SEV-SNP tramite questo repository GitHub come un’altra facile fonte se si desidera far girare il proprio kernel.
Nel frattempo sul lato Intel questa settimana ha portato le patch v2 del supporto del guest core TDX di Intel. Questa è la serie di Trust Domain Extensions di Intel per VM guest riservate dall’host e da attacchi fisici. TDX di Intel offre funzionalità simili a AMD SEV per le future CPU Intel.
