O NOVA, um microhipervisor mantido pela BlueRock Security e originalmente desenvolvido na TU Dresden com contribuições da Intel e FireEye, chamou atenção esta semana por uma capacidade que importa mais à medida que a infraestrutura de IA se consolida: trazer isolamento DMA da AMD para máquinas compartilhadas e multi-tenant. A ameaça que ele mira é aquela que a maioria de quem roda modelos em boxes GPU alugados nunca pensa. Como o CEO da BlueRock, Harold Byun, formula, "sem proteções IOMMU, um driver de dispositivo comprometido pode DMA-ler regiões arbitrárias de memória comprometendo a confidencialidade ou DMA-escrever regiões arbitrárias de memória comprometendo a integridade." Numa máquina onde vários workloads compartilham o hardware, um dispositivo atribuído a um deles pode, sem isolamento, alcançar direto a memória de outro abaixo do nível que o sistema operacional vigia.
A resposta do NOVA é arquitetural. É um microkernel e hipervisor combinados com um trusted computing base deliberadamente mínimo e autorização baseada em capabilities, cerca de 96% C++, rodando em Intel (VT-x, EPT) e AMD (AMD-V, SVM, NPT). Para o problema DMA especificamente, impõe controle de acesso por dispositivo e por página de memória através do IOMMU, abortando qualquer transação de memória não autorizada, então um dispositivo entregue a uma VM não pode tocar as páginas de um vizinho. Escala para workloads com 256TB de memória física e 128 petabytes de espaço de endereçamento virtual, usa manutenção de page tables sem trava para que regiões disjuntas atualizem concorrentemente, e adiciona particionamento de cache de CPU para qualidade de serviço. O endurecimento opcional inclui a Control-Flow Enforcement Technology da Intel e um measured launch com uma raiz de confiança dinâmica em plataformas Intel TXT.
O diferencial, e a razão pela qual merece a atenção de um builder em vez de uma nota de rodapé, é a verificação. O NOVA sai sob GPLv2 no GitHub, e suas especificações e provas são mantidas separadamente como verificação formal verificada por máquina, não apenas testado mas provado contra um modelo formal. Essa é uma afirmação diferente e mais forte do que a maioria do software de isolamento faz, e é exatamente o tipo de afirmação que sobrevive ao contato com um adversário que controla um driver malicioso. A ressalva honesta da BlueRock é que o projeto continua experimental, então não é uma camada de produção drop-in hoje.
Coloque-o ao lado da outra metade da história de segurança desta semana e a forma fica clara. O Private Cloud Compute da Apple se apoiou em NVIDIA Confidential Computing e um chip Google Titan para isolar tenants em hardware que a Apple não possui, a rota proprietária, atestada por vendor, para a IA confidencial. O NOVA é a rota aberta, GPLv2, verificada formalmente para a mesma meta: como você isola workloads, e os dispositivos com que eles falam, em infraestrutura de IA compartilhada forte o bastante para provar isso, não apenas afirmar. O DMA é a superfície de ataque pouco discutida nessa imagem, porque o dispositivo pode alcançar memória que o OS acredita estar protegida, e à medida que a inferência se consolida em máquinas multi-tenant densas, um trusted computing base mínimo e provado é o único tipo de afirmação de isolamento que aguenta quando o próprio driver é a ameaça.
