На этой неделе была представлена серия патчей ядра Linux для улучшения поддержки технологии Secure Encrypted Virtualization (SEV) от компании AMD.
Теперь же появился ещё один набор исправлений, который добавляет новые возможности в систему. Речь идёт о поддержке миграции виртуальных машин в режиме реального времени при использовании AMD Secure Encrypted Virtualization.
wikipedia.org
Проще говоря, это позволяет переносить ВМ в гипервизорах QEMU/KVM, не снимая защиты. Патчи позволяют копировать контекст виртуальной машины с шифрованием в новое гостевое пространство памяти SEV. По умолчанию это работает для KVM, но в будущем планируется расширение и на другие гипервизоры.
Отметим, что разработчик ядра Linux Энди Лютомирский (Andy Lutomirski) высказывал некоторые опасения по поводу возрастающей сложности AMD SEV в ядре Linux. Он заявил, что если бы увидел, как работает код до его внедрения в ядро, то удалил бы его. Сейчас это делать уже поздно, однако нужно постараться не усложнять его ещё сильнее.
Важно отметить, что минувшим летом специалисты нашли уязвимость в SEV. Как оказалось, если один из гипервизоров является вредоносным, то другие будут беззащитны — SEV оказалась неспособна заблокировать угрозу.
Источник:
