AMD围绕安全加密虚拟化安全嵌套分页(SEV-SNP)到主流Linux内核的上游工作似乎已经接近尾声,最新的虚拟机监控程序补丁目前已发布到第十四次修订版。
虽然AMD在GitHub上维护了一个树外内核存储库,其中包含所有最新的虚拟机SEV加密位,但自EPYC 7003系列推出以来,将所有SEV-SNP代码放入主流Linux内核的工作相当漫长。
正如上个月在Phoronix上所写的那样,AMD的Upstream Linux接近“机密计算的终极目标”。SEV-SNP主机支持的x86部分是为Linux 6.9内核添加的,但KVM虚拟机监控程序补丁没有及时为当前内核周期做好准备。
在Linux 6.9合并窗口期间,有人提到SEV-SNP的KVM虚拟机监控程序补丁有望为下一个周期(v6.10)做好准备,但它是否能在5月中旬合并窗口打开时及时完成还有待观察。但无论如何,在周日,这些虚拟机监控程序支持补丁的第14次迭代已经发布。
[PACH v14 00/22]Add AMD Secure Nested Paging(SEV-SNP)Hypervisor Support(添加AMD安全嵌套分页(SEV-苏格兰民族党)虚拟机监控程序支持)补丁系列现已提供给那些有兴趣利用SEV-苏格兰种族党更好地保护AMD EPYC服务器上虚拟机安全的人。
正如补丁封面中所解释的,一些SEV-SNP功能仍有待稍后/单独启用:
“安全加密寻呼(SEV-SNP)系列的这一部分重点关注为SEV-SNPs添加KVM支持所需的更改。该系列建立在SEV-SNP-客户支持(现在是主流)和SEV-SNP:主机初始化支持(下一步是linux)的基础上。
虽然该系列提供了支持引导SEV-SNP虚拟机的基本构建块,但它并没有涵盖SEV-SNPs引入的所有安全增强,如中断保护,这将在未来增加。
使用SNP,当页面在RMP表中标记为访客所有时,它们会被分配给特定的访客/ASID,以及访客中的特定GFN。任何试图将RMP表中的GFN映射到不同的guest/ASID或guest/ASD中的不同GFN的操作都会导致RMP嵌套页面错误。"
Here's to hopefully seeing this work wrap up soon for having a compelling upstreamed solution for securing VMs and embracing confidential computing.
