Випуск Ubuntu 25.04 забезпечив повну підтримку AMD SEV-SNP (Secure Encrypted Virtualization- Secure Nested Paging) на віртуалізаційних хостах Ubuntu, доповнюючи підтримку гостьових систем, яка доступна з Ubuntu 22.04 LTS.

Це робить Ubuntu першою виробничою версією Linux, що підтримує AMD SEV-SNP від хоста до гостя. Без сторонніх патчів, без експериментальних збірок: все працює відразу. Завдяки цьому тепер ви можете розгортати конфіденційні віртуальні машини (CVM) на повністю Ubuntu-базованих стеків, у приватних хмарах або на фізичних серверах у публічних хмарах. У цій статті ми зосередимося на AMD SEV-SNP та на тому, як це допомагає вам захистити ваші навантаження на апаратному рівні за допомогою конфіденційних обчислень.

Конфіденційні обчислення для приватних хмар

Сучасне підприємницьке середовище вийшло за межі традиційних припущень про довіру. Ваша модель загрози більше не може ігнорувати привілейований код, що працює під вашою VM: не гіпервізор, не ядро хоста, не мікропрограмне забезпечення хоста, і, звичайно, не люди, які мають до нього доступ.

AMD SEV-SNP дає нам основний будівельний блок для закриття цього прогалини, піднімаючи кордон довіри з системного програмного забезпечення і переміщаючи його в апаратуру. Це створює апаратно керовану межу навколо кожної віртуальної машини, шифруючи пам’ять гостя з використанням ключів, недоступних для програмного забезпечення хоста, та забезпечуючи цілісність пам’яті через безпечну вкладену таблицю сторінок, контрольовану AMD Secure Processor (PSP). Це не поступове поліпшення. Це категорична трансформація того, що значить довіряти обчислювальній системі.

Ubuntu 25.04 приносить AMD SEV SNP до вашого дата-центру

Ubuntu 25.04 тепер відповідає всім технічним вимогам для роботи в якості хоста конфіденційних обчислень на платформах AMD EPYC (Milan і Genoa), включаючи:

• QEMU 9.2 з підтримкою запуску та вимірювання SEV-SNP
• Ядро Linux 6.14 з модулями SEV-SNP KVM та криптографії

Підтримка гостьових систем

Ubuntu підтримує роботу як гість AMD SEV-SNP з версії 22.04 LTS у публічних хмарах. Тепер з підтримкою хоста в 25.04 ви можете запускати обидві сторони межі на Ubuntu. Без додаткових інструментів, без змішаних середовищ: лише одна ОС, від початку до кінця.

Чому конфіденційні обчислення важливі для дата-центру

Легко припустити, що конфіденційні обчислення призначені лише для публічної хмари або для ізоляції навантажень від операторів хмари. Проте припущення, що приватні дата-центри є безпечними тільки завдяки фізичному контролю, застаріло. Фізичний контроль не означає безпеку: уразливості, з якими ви стикаєтеся в приватних дата-центрах, насправді такі ж, як ті, що ви знайдете в публічній хмарі. Тепер вони просто є вашими. Загрози з боку інсайдерів, ненадійні гіпервізори та уразливості в ядрах віртуалізації або VMM залишаються життєздатними векторами атак. Програмне забезпечення, яке привілейоване на хості, надто велике та складне, щоб бути надійно вільним від уразливостей або “задніх дверей”.

З підтримкою хоста в Ubuntu 25.04 ви можете принести модель безпеки AMD SEV SNP до ваших приватних хмар на основі KVM, без необхідності змінювати дистрибутиви, перекомпілювати інструментальні ланцюги чи жертвувати підтримуваністю.

Ця технологія відкриває ряд переконливих варіантів використання, від безпечної обробки регульованих або чутливих даних до надання незалежним постачальникам програмного забезпечення можливості створювати конфіденційні SaaS-пропозиції на фізичній інфраструктурі. Підприємства також можуть безперешкодно переміщати конфіденційні навантаження між публічними й приватними хмарами.

Один з особливо популярних сценаріїв, який ми спостерігали для конфіденційних віртуальних машин, це розгортання великих мовних моделей, де CVM забезпечують конфіденційні сервіси інферування. Ці сервіси захищають не лише власницькі ваги моделі ШІ, але й конфіденційність запитів користувачів.

Перспективи розвитку

З Ubuntu 25.04 конфіденційні обчислення стають реальною можливістю для платформ AMD. І все це ви можете зробити на такому ж Ubuntu, яке вже підтримує ваші навантаження: одна ОС, одна модель безпеки, скрізь.

І це лише початок. Підтримка AMD SEV-SNP на стороні хоста в Ubuntu 25.04 продовжить свою дію в Ubuntu 26.04 LTS, забезпечуючи тривалу підтримку для виробничих розгортань, а також права на використання Ubuntu Pro, включно з ядрами, які відповідають стандарту FIPS, Livepatch та багато іншого.

Canonical залишається відданою тісної співпраці з партнерами з виробництвом кремнію та екосистемою з відкритим кодом, щоб очолити шлях у конфіденційних обчисленнях та впроваджувати функції, що є високими за рівнем безпеки та простими у використанні.