Linuxeden开源社区本周,Fedora 的工程和指导委员会批准了 Fedora 变更提案,以支持 AMD SEV-SNP 虚拟化主机支持,从而允许使用 Fedora 41 轻松启动机密计算虚拟机 (VM)。
现在,经过大量工作,AMD SEV-SNP内核位已经到达Linux内核和相关组件的上游,Fedora Linux正在成为首批主要的Linux发行版之一,为支持SEV-SNP支持的机密VM提供令人愉悦的开箱即用体验。
Fedora 变更提案将其描述为:
“这使得 Fedora 虚拟化主机能够使用 AMD 的 SEV-SNP 技术启动机密虚拟机。机密虚拟化可防止具有 root shell 访问权限或已泄露的主机软件堆栈的管理员访问任何正在运行的客户机的内存。SEV-SNP 是以前提供的 SEV 和 SEV-ES 技术的演变,提供更强大的保护并解锁安全虚拟 TPM 等新功能。
在启用了 Fedora SEV-SNP 的 KVM 主机下运行的机密来宾将能够:
– 自行启动 VM 证明,以证明其正在运行的来宾计算机的完整性。这保证了他们的客户机在给定配置中设置了 SEV-SNP 的 AMD 硬件上运行,运行针对 EDK2 固件的特定版本,即使主机受到威胁或恶意,也能提供数据机密性。
– 在安全托管的虚拟 TPM
中测量来宾机器启动过程到 PCR 的所有方面 – 防止传统 SEV 和 SEV-ES 技术的各种已知弱点”
现在 FESCo 已经批准了该功能,除非上游代码中出现任何最后一刻的问题或其他因素,否则 AMD SEV-SNP 支持将在 Fedora 41 中找到,该版本将于 10 月底左右发布。AMD EPYC(霄龙)7003“Milan”及更新的EPYC(霄龙)服务器处理器支持安全加密虚拟化安全嵌套分页(SEV-SNP)。
转自 Fedora 41 Proceeds With AMD SEV-SNP Virtualization Host Support For Confidential VMs – Phoronix