Cuando anunciamos por primera vez el soporte Extensión de dominio de confianza Intel® (Intel® TDX) Funciones de invitado y anfitrión Ubuntu 23.10, que mucha gente utiliza para crear aplicaciones y centros de datos con sólidas garantías de seguridad a nivel de silicio. También brindó comentarios sobre lo fácil que fue el proceso de configuración, expresó su entusiasmo por comenzar su viaje informático confidencial con Ubuntu y compartió sus planes para continuar con este compromiso en futuras versiones de Ubuntu, que gradualmente traerán funciones de chip más avanzadas.
Hoy nos complace anunciar queCompilación optimizada de Intel para Ubuntu 24.04 LTS, que le permite ejecutar Intel® TDX en un host de Ubuntu y continúa el soporte inicial de Ubuntu para invitados TDX. El aislamiento de la máquina virtual de Intel® TDX simplifica enormemente la portabilidad y migración de cargas de trabajo existentes a entornos informáticos confidenciales sin requerir ningún cambio en la capa de aplicación.
Confidential Computing aborda una brecha crítica en la seguridad de los datos: proteger los datos mientras se procesan en la memoria del sistema. Si bien las medidas de seguridad tradicionales protegen principalmente los datos en reposo y en tránsito, los datos en uso presentan desafíos únicos. Estas incluyen amenazas internas, donde un interno malicioso con privilegios elevados puede acceder a datos confidenciales durante el procesamiento, así como malware y exploits que explotan vulnerabilidades en el software del sistema privilegiado de una plataforma, como el sistema operativo, el hipervisor y el firmware.
Intel® TDX en procesadores escalables Intel® Xeon de cuarta y quinta generación representa una de las implementaciones de silicio más ambiciosas del paradigma de la informática confidencial. Introdujeron máquinas virtuales seguras y aisladas llamadas dominios de confianza (TD), diseñadas para proteger contra una variedad de amenazas de software, incluidas las planteadas por administradores de máquinas virtuales y otras máquinas virtuales alojadas en la misma plataforma. Intel® TDX también proporciona protección mejorada contra ataques de acceso físico a la memoria de la plataforma, como ataques de arranque en frío e intrusiones en la interfaz DRAM. Para lograr este alto nivel de seguridad, Intel® TDX incorpora nuevas extensiones de seguridad de CPU que brindan tres características de seguridad básicas:
- Aislamiento de la memoria mediante cifrado de la memoria principal: las CPU equipadas con informática confidencial incluyen un motor de cifrado de hardware AES-128 dentro de su controlador de memoria. El motor cifra y descifra las páginas de la memoria cada vez que hay una operación de lectura o escritura en la memoria. El código y los datos de la carga de trabajo no se almacenan en texto sin formato en la memoria del sistema, sino que se cifran mediante claves de cifrado administradas por hardware. Este proceso de cifrado y descifrado se produce sin problemas dentro de la CPU, lo que garantiza un fuerte aislamiento de la memoria para cargas de trabajo confidenciales.
- Otros mecanismos de control de acceso al hardware basados en CPU: las CPU con capacidades informáticas confidenciales introducen nuevas instrucciones y estructuras de datos que permiten la auditoría de tareas sensibles a la seguridad que normalmente realiza el software del sistema privilegiado. Estas tareas incluyen la gestión de la memoria y el acceso a los dispositivos de la plataforma. Por ejemplo, al leer una página de memoria asignada a una carga de trabajo confidencial, estas nuevas instrucciones también brindan información sobre el último valor escrito en la página. Esta característica ayuda a prevenir la corrupción de datos y los ataques de reproducción al detectar modificaciones no autorizadas en las páginas de memoria.
- Atestación remota: permite a las partes confiables, ya sean propietarios de cargas de trabajo o consumidores de servicios proporcionados por las cargas de trabajo, confirmar que las cargas de trabajo se están ejecutando en plataformas habilitadas para Intel® TDX ubicadas dentro de TD antes de compartir datos con ellas. La certificación remota permite a los propietarios y consumidores de cargas de trabajo verificar digitalmente la versión de Trusted Computing Base (TCB) que utilizan para proteger sus datos.
Garantizar que los usuarios finales puedan aprovechar al máximo estas características críticas de seguridad del chip requiere algo más que obtener el hardware adecuado: también requiere habilitar la pila de software encima. En el ecosistema Linux, los parches ascendentes son un proceso meticuloso y que requiere mucho tiempo antes de integrarse en las distribuciones de sistemas operativos descendentes.
Reconociendo la necesidad crítica de que los usuarios finales y clientes de Ubuntu protejan sus datos y códigos confidenciales en tiempo de ejecución, Canonical e Intel han iniciado una colaboración estratégica a través de la cual podemos ofrecer compilaciones continuas de Ubuntu optimizadas por Intel que están por delante de las anteriores y que continúan. Proporcionar Trae las últimas funciones Intel® TDX desarrolladas por Intel. Hoy ofrecemos un Derivado de compilaciones optimizadas de Intel A partir de Ubuntu 24.04, se incluyen todos los componentes esenciales necesarios para implementar cargas de trabajo confidenciales Intel® TDX. Estas ediciones de Ubuntu admiten entornos host e invitados, así como capacidades de autenticación remota para una implementación perfecta de máquinas virtuales Intel® TDX confidenciales:
- Lado del host: incluye el kernel 6.8 derivado del kernel genérico 24.04, así como componentes clave del espacio de usuario como Libvirt y QEMU.
- Invitado: Proporciona 6.8 core, Shim, Grub y TDVF (usado como firmware de VM invitada)
- Atestación: esta versión también incluye la primitiva de atestación del centro de datos (DCAP) de Intel® Software Guard Extensions en el lado del host y la CLI de Intel® Trust Authority en el lado del invitado. Estos permiten a los consumidores recuperar informes de certificación de la raíz de confianza del hardware subyacente y enviarlos al Servicio Intel® Trust Authority para su verificación.
Figura 1. Pila de software TDX de extremo a extremo para Ubuntu
Para respaldar la adopción segura de Intel® TDX por parte de nuestros clientes, Canonical brindará mantenimiento de seguridad y soporte empresarial para la versión optimizada para Intel de Ubuntu 24.04 durante todo su ciclo de vida. Para la consola, el núcleo continuará actualizándose y estará diseñado para permitir a los usuarios pasar a un nuevo núcleo cada seis meses. Cada núcleo recibirá nueve meses de mantenimiento y soporte de seguridad. Este enfoque central de Hardware Enablement (HWE) es común para admitir hardware nuevo, y cada versión central derivada de la versión principal se envía con una versión provisional (como Ubuntu 24.10) para garantizar un soporte continuo. Del mismo modo, para el espacio de usuario, respaldaremos los parches a la versión 24.04 existente o admitiremos versiones más nuevas.
Este enfoque continuo está cuidadosamente equilibrado para permitir a los clientes aprovechar las capacidades de TDX en evolución a medida que avanzan hacia arriba, al mismo tiempo que permite la implementación segura de TDX hoy.
La colaboración entre Canonical e Intel resalta nuestro compromiso compartido con el avance de la informática confidencial, especialmente en el espacio empresarial donde es fundamental un fuerte soporte para las capacidades de host e invitado.
A medida que Intel avanza con capacidades de silicio adicionales, Canonical mantiene su compromiso de ofrecer una versión optimizada de Ubuntu para garantizar una adopción fluida de Intel® TDX para nuestros clientes.
Esperamos ansiosos su despliegue Ubuntu 24.04 Intel® TDX Establecer y valorar sus comentarios y preguntas. Sus conocimientos son fundamentales a medida que continuamos innovando y mejorando las futuras soluciones de seguridad de datos.
Contáctenos
Aprenda los conceptos básicos de la informática confidencial
Descubra cómo proteger sus cargas de trabajo de IA con informática confidencial
