NOVA 是一個由 BlueRock Security 維護、最初在德勒斯登工業大學開發、有 Intel 和 FireEye 貢獻的微虛擬機監控器。本週它因一項隨 AI 基礎設施集中而愈發重要的能力而受到關注:把 AMD 的 DMA 隔離帶到共享的、多租戶的機器上。它所針對的威脅,正是大多數在租來的 GPU 機器上跑模型的人從不去想的那個。正如 BlueRock CEO Harold Byun 所述,"沒有 IOMMU 保護,一個被攻陷的裝置驅動可以 DMA 讀取任意記憶體區域,從而破壞機密性,或 DMA 寫入任意記憶體區域,從而破壞完整性。"在一台多個工作負載共享硬體的機器上,分配給其中之一的裝置,在沒有隔離的情況下,可以越過作業系統所管轄的層級,直接伸進另一個的記憶體。
NOVA 的答案是架構性的。它是一個微核心與虛擬機監控器的結合體,具有刻意精簡的可信計算基和基於能力的授權,大約 96% 是 C++,運行在 Intel(VT-x、EPT)和 AMD(AMD-V、SVM、NPT)上。針對 DMA 問題本身,它通過 IOMMU 強制執行按裝置、按記憶體頁的存取控制,中止任何未授權的記憶體交易,所以交給一個 VM 的裝置無法觸碰鄰居的頁面。它擴展到具有 256TB 實體記憶體和 128 拍位元組虛擬位址空間的工作負載,使用無鎖頁表維護使不相交的區域並發更新,並加入 CPU 快取分區以保障服務品質。可選的加固包括 Intel 的 Control-Flow Enforcement Technology,以及在 Intel TXT 平台上帶動態信任根的 measured launch。
差異化所在,也是它值得一個 builder 關注而非腳註的原因,是驗證。NOVA 在 GitHub 上以 GPLv2 發布,其規範與證明作為經機器核驗的形式化驗證單獨維護,不只是測試過,而是針對一個形式化模型被證明過。這是一個不同於、也強於大多數隔離軟體所作的主張,而且正是那種在與一個控制著惡意驅動的對手接觸時仍能存活的主張。BlueRock 誠實的注意事項是,該項目仍屬實驗性質,所以今天它還不是一個即插即用的生產層。
把它放在本週安全故事的另一半旁邊,形狀就清楚了。蘋果的 Private Cloud Compute 依靠 NVIDIA Confidential Computing 和一枚谷歌 Titan 晶片,在蘋果並不擁有的硬體上隔離租戶,這是通往機密 AI 的專有、廠商背書路線。NOVA 是通往同一目標的開放、GPLv2、經形式驗證的路線:你如何把工作負載,以及它們所對話的裝置,在共享 AI 基礎設施上隔離得足夠強,以至於能夠證明,而不只是斷言。在那幅圖景裡,DMA 是被低估討論的攻擊面,因為裝置可以伸到作業系統以為受保護的記憶體,而隨著推理向密集的多租戶機器集中,一個精簡且被證明的可信計算基,是當驅動本身就是威脅時唯一站得住的隔離主張。
