微软最近推送了一些变更,旨在改进即将发布的 Linux 内核 6.6 版本对 Hyper-V 的支持。这些改进包括在 Hyper-V 上支持 AMD SEV-SNP guest 和 Intel TDX guest。除了这两项,还有其他一些升级,如改进了 VMBus 驱动程序中的 ACPI(高级配置和电源接口)根对象处理等。
Linux 领头人 Linus Torvalds 接受了微软Azure 机器学习首席架构师 Wei Liu 发送的这些更新。
他在文档中提到:
从 Wei Liu 处获取 Hyper-V 更新:
– 支持 Hyper-V 上的 SEV-SNP 客户端(Tianyu Lan)
– 支持 Hyper-V 上的 TDX guest(Dexuan Cui)
– 在 Hyper-V 气球驱动程序中使用 SBRM API(Mitchell Levy)
– 避免在 VMBus 驱动程序中取消引用 ACPI 根对象句柄(Maciej Szmigiero)
– 一些误用修复(Jiapeng Chong、Nathan Chancellor、Saurabh Sengar)
英特尔的信任域扩展(Trust Domain eXtension 或 TDX)有助于将虚拟机(VM)与其虚拟机管理器(VMM)或虚拟机管理程序(Hypervisor)(这里指的是微软的 Hyper-V)隔离开来,从而将它们与其他硬件和系统隔离开来。这些硬件隔离的虚拟机本质上就是”信任域”,因此也被称为”信任域”技术。它通过 AES-128- XTS 提供多密钥全内存加密(MKTME)。
在 AMD方面,SEV 或安全加密虚拟化技术有助于将虚拟机与其管理程序或虚拟机隔离开来。有趣的是,SEV 是第一个用于 x86 处理器的此类技术,此后 AMD 对其进行了改进,推出了 SEV-ES(安全加密虚拟化-加密状态),带来了 CPU 加密;后来,内存加密也加入了 SEV-SNP(安全嵌套分页),旨在防止侧信道攻击等。
英特尔 TDX 最近保护了其最新处理器免受 Downfall 漏洞的攻击,这就是拥有这种功能的好处的一个例子,但这并不意味着它们将免受漏洞微码更新的影响。
由此可见,AMD和英特尔架构的计算机都可以因此受益,虽然增加这一功能对普通消费者来说可能意义不大,但企业可能会对最新带来的额外的安全性表示赞赏。
了解更多:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=0b90c5637dfea8a08f87db5dd16000eb679013a3