NOVA, un microhyperviseur maintenu par BlueRock Security et originellement développé à TU Dresden avec des contributions d'Intel et FireEye, a attiré l'attention cette semaine pour une capacité qui compte de plus en plus à mesure que l'infrastructure IA se consolide : apporter l'isolation DMA AMD à des machines partagées et multi-tenant. La menace qu'il vise, c'est celle à laquelle la plupart des gens qui roulent des modèles sur des box GPU loués ne pensent jamais. Comme le formule le CEO de BlueRock Harold Byun, « sans protections IOMMU, un pilote de device compromis peut DMA-lire des régions arbitraires de mémoire compromettant la confidentialité ou DMA-écrire des régions arbitraires de mémoire compromettant l'intégrité. » Sur une machine où plusieurs workloads partagent le hardware, un device assigné à l'un d'eux peut, sans isolation, atteindre direct la mémoire d'un autre sous le niveau que le système d'exploitation surveille.
La réponse de NOVA est architecturale. C'est un microkernel et hyperviseur combinés avec un trusted computing base volontairement minimal et une autorisation basée sur des capabilities, environ 96 % de C++, roulant sur Intel (VT-x, EPT) et AMD (AMD-V, SVM, NPT). Pour le problème DMA spécifiquement, il impose un contrôle d'accès par-device et par-page-mémoire à travers l'IOMMU, avortant n'importe quelle transaction mémoire non autorisée, donc un device remis à une VM peut pas toucher les pages d'un voisin. Il s'étend à des workloads avec 256To de mémoire physique et 128 pétaoctets d'espace d'adressage virtuel, utilise une maintenance de page tables sans verrou pour que des régions disjointes se mettent à jour en concurrence, et ajoute le partitionnement de cache CPU pour la qualité de service. Le durcissement optionnel inclut la Control-Flow Enforcement Technology d'Intel et un measured launch avec une racine de confiance dynamique sur les plateformes Intel TXT.
Le différenciateur, et la raison pour laquelle ça mérite l'attention d'un builder plutôt qu'une note de bas de page, c'est la vérification. NOVA ship sous GPLv2 sur GitHub, et ses spécifications et preuves sont maintenues séparément comme vérification formelle vérifiée par machine, pas juste testé mais prouvé contre un modèle formel. C'est un claim différent et plus fort que ce que la plupart des logiciels d'isolation font, et c'est exactement le genre de claim qui survit au contact d'un adversaire qui contrôle un pilote malveillant. Le caveat honnête de BlueRock, c'est que le projet reste expérimental, donc c'est pas une couche de production drop-in aujourd'hui.
Place-le à côté de l'autre moitié de l'histoire de sécurité de cette semaine et la forme est claire. Le Private Cloud Compute d'Apple s'est appuyé sur NVIDIA Confidential Computing et une puce Google Titan pour isoler des tenants sur du hardware qu'Apple possède pas, la route propriétaire, attestée-par-vendor, vers l'IA confidentielle. NOVA est la route ouverte, GPLv2, vérifiée formellement vers le même but : comment tu isoles des workloads, et les devices auxquels ils parlent, sur de l'infrastructure IA partagée assez fortement pour le prouver, pas juste l'affirmer. Le DMA est la surface d'attaque sous-discutée dans cette image, parce que le device peut atteindre de la mémoire que l'OS croit protégée, et à mesure que l'inférence se consolide sur des machines multi-tenant denses, un trusted computing base minimal et prouvé est le seul genre de claim d'isolation qui tient quand le pilote lui-même est la menace.
