NOVA 是一个由 BlueRock Security 维护、最初在德累斯顿工业大学开发、有 Intel 和 FireEye 贡献的微虚拟机监控器。本周它因一项随 AI 基础设施集中而愈发重要的能力而受到关注:把 AMD 的 DMA 隔离带到共享的、多租户的机器上。它所针对的威胁,正是大多数在租来的 GPU 机器上跑模型的人从不去想的那个。正如 BlueRock CEO Harold Byun 所述,"没有 IOMMU 保护,一个被攻陷的设备驱动可以 DMA 读取任意内存区域,从而破坏机密性,或 DMA 写入任意内存区域,从而破坏完整性。"在一台多个工作负载共享硬件的机器上,分配给其中之一的设备,在没有隔离的情况下,可以越过操作系统所管辖的层级,直接伸进另一个的内存。
NOVA 的答案是架构性的。它是一个微内核与虚拟机监控器的结合体,具有刻意精简的可信计算基和基于能力的授权,大约 96% 是 C++,运行在 Intel(VT-x、EPT)和 AMD(AMD-V、SVM、NPT)上。针对 DMA 问题本身,它通过 IOMMU 强制执行按设备、按内存页的访问控制,中止任何未授权的内存事务,所以交给一个 VM 的设备无法触碰邻居的页面。它扩展到具有 256TB 物理内存和 128 拍字节虚拟地址空间的工作负载,使用无锁页表维护使不相交的区域并发更新,并加入 CPU 缓存分区以保障服务质量。可选的加固包括 Intel 的 Control-Flow Enforcement Technology,以及在 Intel TXT 平台上带动态信任根的 measured launch。
差异化所在,也是它值得一个 builder 关注而非脚注的原因,是验证。NOVA 在 GitHub 上以 GPLv2 发布,其规范与证明作为经机器核验的形式化验证单独维护,不只是测试过,而是针对一个形式化模型被证明过。这是一个不同于、也强于大多数隔离软件所作的主张,而且正是那种在与一个控制着恶意驱动的对手接触时仍能存活的主张。BlueRock 诚实的注意事项是,该项目仍属实验性质,所以今天它还不是一个即插即用的生产层。
把它放在本周安全故事的另一半旁边,形状就清楚了。苹果的 Private Cloud Compute 依靠 NVIDIA Confidential Computing 和一枚谷歌 Titan 芯片,在苹果并不拥有的硬件上隔离租户,这是通往机密 AI 的专有、厂商背书路线。NOVA 是通往同一目标的开放、GPLv2、经形式验证的路线:你如何把工作负载,以及它们所对话的设备,在共享 AI 基础设施上隔离得足够强,以至于能够证明,而不只是断言。在那幅图景里,DMA 是被低估讨论的攻击面,因为设备可以伸到操作系统以为受保护的内存,而随着推理向密集的多租户机器集中,一个精简且被证明的可信计算基,是当驱动本身就是威胁时唯一站得住的隔离主张。
