AMD libero el código fuente de SEV, para proteger las máquinas virtuales
Hace pocos días AMD dio a conocer mediante una publicación de blog, la liberación del código fuente de su mecanismo de seguridad AMD SEV (Secure Encrypted Virtualization), el cual tiene como finalidad el proteger las máquinas virtuales de ser comprometidas por un hipervisor o un administrador del sistema host.
Hay que recodar que AMD en 2016 lanzo SEV, como una solución de seguridad de virtualización cifrada segura y con lo cual resolvió diversos problemas en las tecnologías de virtualización tradicionales con el hipervisor que permitía acceder a los datos de los invitados.
Cabe mencionar que AMD ya ha incluido el soporte SEV en la rama principal del kernel de Linux, tanto para el host como para KVM.
Sobre la liberación del código, se menciona que el motivo principal de la publicación del código se cita como una demostración de compromiso con las ideas de código abierto (por ejemplo, AMD ya está desarrollando el proyecto abierto openSIL relacionado con el firmware) y promoviendo una iniciativa para aumentar la transparencia de las tecnologías relacionadas con la seguridad.
En particular, el código fuente proporcionado permitirá una auditoría independiente de la implementación de AMD SEV.
“Aplaudimos la decisión de AMD de poner partes de su firmware de seguridad a disposición del público para su inspección. Esto está totalmente en línea con la filosofía de la informática confidencial de Azure de adoptar el código abierto y abrir nuestro propio código cuando sea práctico”. Mark Russinovich, CTO de Azure y miembro técnico de Microsoft.
Por la parte de la funcionalidad de SEV, se menciona que la protección de AMD SEV se implementa mediante cifrado a nivel de hardware de la memoria de la máquina virtual, en donde solo el sistema invitado sobre el que se ejecuta tiene acceso a los datos descifrados, mientras que para el resto de las máquinas virtuales y el hipervisor, estos reciben un conjunto de datos cifrados cuando intentan acceder a esta memoria.
Las claves de cifrado se administran en el lado de un procesador PSP (Platform Security Processor) separado integrado en el chip, implementado sobre la base de la arquitectura ARM, ademas de que la tecnología es compatible con la familia de procesadores de servidor AMD EPYC.
Los procesadores AMD EPYC son reconocidos por su rendimiento y características de seguridad, que están diseñados para proteger los datos en reposo, en movimiento y en uso. Estos procesadores se utilizan cada vez más en una cartera cada vez mayor de máquinas virtuales habilitadas para computación de servicios en la nube, incluidos Amazon Web Services (AWS), Google Cloud, Microsoft Azure y Oracle Compute Infrastructure (OCI).
«Como líder en informática confidencial, estamos comprometidos con una búsqueda incesante de innovación y la creación de funciones de seguridad modernas que complementen las ofertas de nube más avanzadas de nuestros socios del ecosistema», afirmó Mark Papermaster, vicepresidente ejecutivo y director de tecnología de AMD.
“Al compartir los fundamentos de nuestra tecnología SEV, ofrecemos transparencia para la informática confidencial y demostramos nuestra dedicación al código abierto. Involucrar a la comunidad de código abierto fortalecerá aún más esta tecnología crítica para nuestros socios y clientes que esperan nada menos que la máxima protección para su activo más valioso: sus datos”.
En cuanto a la licencia sobre la cual se libero el código del firmware de AMD SEV, se menciona que esta permite usar, copiar, modificar, distribuir y crear trabajos derivados para usar únicamente con hardware AMD.
La licencia prohíbe la inclusión de código en productos distribuidos bajo otras licencias o patentes infractoras. El desarrollo de firmware continúa internamente en AMD, que no tiene intención de aceptar cambios de terceros, pero considerará comentarios y opiniones.
Para los interesados en el código, deben saber que este se publica bajo un acuerdo de licencia separado y corresponde al firmware SEV FW 1.55.25 utilizado en la cuarta generación de procesadores AMD EPYC y pueden consultarlo en GitHub en el siguiente repositorio.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.