Google 为 KVM 发布新的 ASI 补丁,以帮助抵御推测性执行攻击
谷歌工程师发布了一个针对 Linux 的大型补丁系列,他们正在为 KVM 开发新的地址空间隔离实现,以帮助缓解各种类型的推测执行攻击。
这种 KVM 的地址空间隔离 (ASI) 实现被认为是概念证明,并在“请求评论”标志下发送。这与之前的 ASI KVM 补丁的意图相似,但它是一个新的底层实现,并且还引入了敏感和非敏感内存的概念。
地址空间隔离的目的仍然是减轻推测性执行攻击,希望 ASI KVM 的 VM 开销低于当前其他一些缓解方法。那封补丁的求职信总结道,“地址空间隔离是针对多种类型的推测执行攻击的综合安全缓解措施。尽管内核已经有几个推测性执行漏洞缓解措施,但如果完全启用它们中的一些可能会非常昂贵,例如使用现有机制完全缓解 L1TF 需要在每个单个 VM 条目上执行 L1 缓存刷新以及完全禁用超线程。(虽然在启用超线程时核心调度可以提供一些保护,但它本身不足以防止所有泄漏,除非在每个 VM 退出时也执行同级超线程击晕。)几乎相似的保护水平。\”
这封信还详细说明了 ASI-KVM 的预期缓解策略:
鉴于这些,使用 ASI 来阻止推测性攻击的想法是,我们可以在大多数情况下使用一组受限页表来执行内核,并且只有在内核需要访问非受限的东西时才切换到完整的非受限内核地址空间。映射到受限地址空间。我们跟踪切换到完整内核地址空间的时间,以便在返回进程/VM之前,我们可以切换回受限地址空间。在内核能够在受限地址空间中完全执行的路径中,我们可以跳过其他针对推测执行攻击的缓解措施(例如 L1 缓存/微架构缓冲区刷新、兄弟超线程击晕等)。只有在我们最终切换页表的情况下,我们才会执行这些更昂贵的缓解措施。
有关旨在为 KVM 提供地址空间隔离的 RFC 系列 47 个补丁的更多详细信息,请参阅补丁说明信。该补丁系列还指出,KVM 内核页表隔离 (KPTI) 也可以在相同的新基础架构之上实施。补丁文档还指出,他们在 Google 内部有一个兄弟超线程惊人的实现,它与 KVM-ASI 集成,以后可能会集成。