Tahun lalu dengan peluncuran prosesor AMD EPYC 7003 “Milan” salah satu fitur keamanan baru adalah SEV-SNP, atau pembaruan “Secure Nested Paging” untuk fungsionalitas Virtualisasi Terenkripsi Aman yang telah dibangun dengan generasi EPYC berikutnya. Sementara AMD menerbitkan patch kernel out-of-tree dalam repositori GitHub untuk mengaktifkan SEV-SNP dan telah melakukan beberapa revisi pada mereka di milis kernel, satu tahun kemudian akhirnya tiba di jalur utama dengan kernel Linux 5.19.
Kernel Linux 5.19 yang akan dirilis akhir musim panas ini akan menawarkan dukungan AMD SEV-SNP tanpa harus menggunakan patching kernel Anda atau menggunakan kode out-of-tree. Seperti yang saya tulis di awal April, sepertinya SEV-SNP akhirnya siap untuk upstreaming dengan Linux 5.19. Sekarang pada hari pertama jendela penggabungan v5.19, patch SEV-SNP memang telah dikirimkan.
SEV-SNP telah menjadi salah satu dari banyak peningkatan menarik dengan seri EPYC 7003.
Perlindungan integritas memori berbasis perangkat keras yang disediakan oleh AMD SEV-SNP dapat membantu mencegah serangan berbasis hypervisor berbahaya dan fungsionalitas lain di luar apa yang telah tersedia dengan Virtualisasi Terenkripsi Aman sebelumnya CPU EPYC.
Tabel AMD menunjukkan perbedaan fitur di seluruh tingkatan SEV. SEV-SNP diperkenalkan pada Maret 2021 dengan prosesor seri AMD EPYC 7003.
SEV-SNP menambahkan perlindungan integritas seputar perlindungan pemutaran ulang, kerusakan data, aliasing memori, pemetaan ulang memori, rollback TCB, dan banyak lagi. SEV-SNP untuk Linux 5.19 memiliki semua kode pengaktifan awal di tempat tetapi masih ada beberapa tugas terbuka seperti menangani mode validasi malas untuk halaman jadi untuk saat ini semuanya sudah divalidasi sebelumnya saat boot. Peningkatan keamanan interupsi juga masih harus dikerjakan untuk kode kernel Linux ini. Lihat whitepaper AMD ini untuk mempelajari lebih lanjut tentang berbagai tingkatan Virtualisasi Terenkripsi Aman.
Permintaan tarik inilah yang memiliki pengaktifan SEV-SNP awal untuk Linux 5.19. Sangat disayangkan butuh lebih dari satu tahun setelah peluncuran EPYC Milan untuk kurang dari 4k baris kode ini untuk di-upstream ke dalam kernel, tetapi setidaknya sekarang dan setelah peninjauan/pengujian ekstensif. Banyak hyperscaler dan pelanggan EPYC besar lainnya kemungkinan telah menggunakan SEV-SNP dengan menambal build kernel mereka, tetapi sangat bagus untuk memiliki semua ini agar ketersediaan SEV-SNP lebih tersebar luas dan lebih mudah dipelihara. Seperti sebelumnya dengan SEV-ES, butuh waktu yang agak lama setelah peluncuran sebelum menjadi mainstream. Ini adalah salah satu area di mana AMD masih memiliki ruang untuk perbaikan dengan dukungan Linux mereka untuk mendapatkan fitur CPU baru di luar sana lebih tepat waktu — Intel dikenal karena pengaktifannya yang tepat waktu dan memasukkan fitur CPU generasi berikutnya secara umum ke dalam kernel sebelum pengiriman perangkat keras. Untuk prosesor EPYC Zen 4 saya telah melaporkan berbagai penambahan ID dan pekerjaan pengaktifan dasar selama berbulan-bulan, tetapi sejauh ini belum melihat kode fitur utama yang bekerja ke milis kernel untuk memulai proses peninjauan/upstreaming.
Itulah berita seputar AMD SEV-SNP Akhirnya Digabungkan di Linux 5.19 Untuk Meningkatkan Komputasi Rahasia, semoga bermanfaat. Disadur dari Phoronix.com.