NOVA, एक microhypervisor जिसे BlueRock Security रखरखाव करती है और जो मूल रूप से TU Dresden में Intel और FireEye के योगदान के साथ विकसित हुआ, इस हफ्ते एक ऐसी क्षमता के लिए ध्यान में आया जो AI infrastructure के सिमटने के साथ और मायने रखती है: AMD की DMA isolation को साझा, multi-tenant मशीनों तक लाना। यह जिस खतरे को निशाना बनाता है वह वही है जिसके बारे में किराए के GPU boxes पर models चलाने वाले अधिकांश लोग कभी नहीं सोचते। जैसा BlueRock CEO Harold Byun कहते हैं, "IOMMU सुरक्षा के बिना, एक compromised device driver मनमाने memory क्षेत्रों को DMA-पढ़ सकता है, confidentiality तोड़ते हुए, या मनमाने memory क्षेत्रों को DMA-लिख सकता है, integrity तोड़ते हुए।" एक ऐसी मशीन पर जहां कई workloads hardware साझा करते हैं, उनमें से एक को सौंपा गया device, isolation के बिना, उस स्तर के नीचे जहां operating system निगरानी करता है, सीधे दूसरे की memory तक पहुंच सकता है।
NOVA का जवाब architectural है। यह एक microkernel और hypervisor का संयोजन है जिसमें जानबूझकर न्यूनतम trusted computing base और capability-based authorization है, लगभग 96% C++, Intel (VT-x, EPT) और AMD (AMD-V, SVM, NPT) दोनों पर चलता है। खासकर DMA समस्या के लिए, यह IOMMU के जरिए per-device और per-memory-page access control लागू करता है, किसी भी अनधिकृत memory transaction को रद्द करते हुए, तो एक VM को सौंपा गया device किसी पड़ोसी के pages को नहीं छू सकता। यह 256TB physical memory और 128 petabytes virtual address space वाले workloads तक scale करता है, असंयुक्त क्षेत्रों के समवर्ती update के लिए lockless page-table रखरखाव का उपयोग करता है, और quality of service के लिए CPU cache partitioning जोड़ता है। वैकल्पिक hardening में Intel की Control-Flow Enforcement Technology और Intel TXT platforms पर dynamic root of trust वाला measured launch शामिल है।
विभेदक, और वह कारण कि यह एक footnote के बजाय एक builder के ध्यान के योग्य है, verification है। NOVA GitHub पर GPLv2 के तहत आता है, और इसकी specifications व proofs अलग से machine-checked formal verification के रूप में रखे जाते हैं, सिर्फ tested नहीं बल्कि एक formal model के विरुद्ध proven। यह अधिकांश isolation software द्वारा किए जाने वाले दावे से अलग और मजबूत दावा है, और यह ठीक वैसा दावा है जो एक malicious driver नियंत्रित करने वाले विरोधी के संपर्क में आने पर भी टिकता है। BlueRock की ईमानदार चेतावनी यह है कि project अभी भी experimental है, तो यह आज एक drop-in production परत नहीं है।
इसे इस हफ्ते की सुरक्षा कहानी के दूसरे आधे के बगल में रखें और आकार स्पष्ट हो जाता है। Apple का Private Cloud Compute NVIDIA Confidential Computing और एक Google Titan chip पर निर्भर रहा ताकि उस hardware पर tenants को isolate किया जा सके जो Apple के पास नहीं है, यानी confidential AI तक का मालिकाना, vendor-attested रास्ता। NOVA उसी लक्ष्य तक का खुला, GPLv2, formally-verified रास्ता है: आप workloads को, और जिन devices से वे बात करते हैं उन्हें, साझा AI infrastructure पर इतनी मजबूती से कैसे isolate करते हैं कि उसे साबित कर सकें, सिर्फ दावा नहीं। उस तस्वीर में DMA कम-चर्चित attack surface है, क्योंकि device उस memory तक पहुंच सकता है जिसे OS सुरक्षित मानता है, और जैसे-जैसे inference घने multi-tenant मशीनों पर सिमटता है, एक न्यूनतम और proven trusted computing base ही एकमात्र ऐसा isolation दावा है जो तब टिकता है जब driver खुद ही खतरा हो।
