Представлен в прошлом году с Процессоры AMD EPYC 7003 «Милан» были SEV-SNP как последняя итерация их технологии безопасной зашифрованной виртуализации. SEV-SNP добавляет дополнительные средства защиты и гарантии целостности как часть расширения SEV «Безопасный вложенный пейджинг». Наконец, в Linux 5.19 поддержка SEV-SNP должна впервые появиться в основном ядре.
Сразу после выпуска серии EPYC 7003 в марте 2021 года AMD начала рассылать исправления Linux для SEV-SNP. В прошлом году они продолжали рассылать обновленные версии исправлений, чтобы реализовать больше поддерживаемых функций и учитывать отзывы разработчиков. Возвращаясь к запуску оборудования, они также разместили этот код в репозитории GitHub для клиентов AMD EPYC, желающих использовать их поддерживаемую сборку/исправления ядра для сборки ядра с этой функциональностью, помимо кода SEV/SEV-ES, уже находящегося в восходящем потоке.. Аппаратная защита целостности памяти может помочь предотвратить злонамеренные атаки на основе гипервизора и другие функции, выходящие за рамки того, что доступно с помощью безопасной зашифрованной виртуализации предыдущих процессоров EPYC.
После нескольких раундов проверки (12+) похоже, что исходный код SEV-SNP с рабочей поддержкой гостевой ОС готов к тому, что будет приземлиться в ядре Linux 5.19 этим летом.
Сегодня утром поставлен в очередь на x86 TIP. Ветка/sev — это гостевой драйвер AMD SEV-SNP и код других функций SEV-SNP. Теперь, когда этот код является частью TIP.git, это последняя ступенька перед отправкой в следующее окно слияния как часть различных запросов на вытягивание функций TIP… Это ставит его в основную ветку примерно в конце мая, после цикла Linux 5.19. начинается.
Это вся серия гостевых исправлений SEV-SNP, которая была передана через Ветка AMDESE sev-snp-v12 на GitHub и теперь является частью TIP x86/sev до тех пор, пока не наступит цикл Linux 5.19, если не возникнут какие-либо проблемы в последнюю минуту, которые могут привести к удалению этих исправлений из TIP/x86/сев. Похоже, что в этом коде SEV-SNP все еще есть области для улучшения, такие как поддержка режима «ленивой проверки» для страниц, тогда как сейчас все это делается в рамках предварительной проверки. Защита от прерываний — еще одна функция SEV-SNP, которую еще предстоит решить с помощью будущих исправлений.
Дополнительную информацию о защите AMD SEV-SNP с процессорами серии EPYC 7003 можно найти по адресу технический документ AMD. К сожалению, после запуска этой функциональности SEV-SNP потребовалось больше года, чтобы превратить ее в основное ядро, но, по крайней мере, похоже, что первоначальная поддержка будет в хорошей форме этим летом и добавлена к осеннему Linux. обновления дистрибутива и перед выпуском процессоров EPYC следующего поколения.