Випуск Ubuntu 25.04 забезпечив повну підтримку AMD SEV-SNP (Secure Encrypted Virtualization – Secure Nested Paging) на віртуалізаційних хостах Ubuntu, доповнюючи підтримку гостей, яка була доступна з Ubuntu 22.04 LTS.

Це робить Ubuntu першою продуктивною Linux-дистрибуцією, яка підтримує AMD SEV-SNP від хоста до гостя. Ніяких патчів ззовні, ніяких експериментальних збірок: все працює з коробки. Тепер ви можете розгортати конфіденційні віртуальні машини (CVM) на повністю Ubuntu-орієнтованих стеках, у приватних хмарах або на фізичних вузлах у публічних хмарах. У цьому блозі ми розглянемо AMD SEV-SNP і як він допомагає захистити ваші робочі навантаження на апаратному рівні з використанням конфіденційних обчислень.

Перетворення конфіденційних обчислень для приватних хмар

Сучасне підприємство вже не може спиратися на традиційні припущення про довіру. Ваша модель загроз більше не може ігнорувати привілейований код, що працює під вашою віртуальною машиною: не гіпервізор, не хост-кернел, не прошивка хоста, і, звичайно, не люди, які мають доступ до нього.

AMD SEV-SNP є основним будівельним блоком для закриття цього розриву, виводячи межі довіри з системного програмного забезпечення і переміщаючи їх в апаратуру. Це створює апаратно контролюване обмеження навколо кожної віртуальної машини, шифруючи пам’ять гостя за допомогою ключів, недоступних для хост-програмного забезпечення, та забезпечуючи цілісність пам’яті через безпечну таблицю вкладок, контрольовану AMD Secure Processor (PSP). Це не просто покращення, а катастрофічна трансформація того, що означає довіряти комп’ютерній системі.

Ubuntu 25.04 приносить AMD SEV-SNP у ваш дата-центр

Ubuntu 25.04 тепер відповідає всім технічним вимогам для роботи в якості хоста конфіденційних обчислень на платформах AMD EPYC (Milan і Genoa), включаючи:

• QEMU 9.2 з підтримкою запуску та вимірювання SEV-SNP
• Ядро Linux 6.14 з SEV-SNP KVM і криптографічними модулями

Підтримка гостей

Ubuntu підтримує роботу як AMD SEV-SNP гість з 22.04 LTS в публічних хмарах. Тепер, з підтримкою хоста в 25.04, ви можете запускати обидві сторони кордону в Ubuntu. Жодних додаткових інструментів, ніяких змішаних середовищ: тільки одна ОС, починаючи від кінця до кінця.

Чому конфіденційні обчислення важливі для дата-центру

Легко припустити, що конфіденційні обчислення призначені лише для публічної хмари або для ізоляції робочих навантажень від операторів хмари. Однак припущення, що приватні дата-центри є безпечними в силу фізичного контролю, застаріле, адже фізичний контроль не означає безпеку: вразливості, з якими ви стикаєтеся в приватних дата-центрах, насправді є тими ж, що ви знайдете в публічній хмарі. Ви просто володієте ними зараз. Загрози зсередини, ненадійні гіпервізори та вразливості в кернелі віртуалізації або VMM залишаються актуальними векторами атаки. Програмне забезпечення з привілейованим доступом хоста надто велике та складне, щоб бути надійно вільним від вразливостей або бекдорів.

Зараз, з підтримкою хоста в Ubuntu 25.04, ви можете перенести модель безпеки AMD SEV-SNP до своїх KVM-орієнтованих приватних хмар, без необхідності змінювати дистрибуції, перекомпілювати toolchain або жертвувати підтримуваністю.

Ця технологія відкриває ряд привабливих варіантів використання, від безпечної обробки регульованих або чутливих даних до надання незалежним постачальникам програмного забезпечення можливості створювати конфіденційні SaaS-пропозиції на фізичній інфраструктурі. Підприємства також можуть безперешкодно переміщувати конфіденційні робочі навантаження між публічними та приватними хмарами.

Особливо популярним варіантом використання, який ми спостерігали для конфіденційних віртуальних машин, є розгортання великих мовних моделей, де CVM забезпечують конфіденційні сервіси. Ці сервіси захищають не лише власні ваги AI моделі, але й конфіденційність запитів користувачів.

Погляд у майбутнє

З Ubuntu 25.04 конфіденційні обчислення стають реальним рішенням для платформ AMD. І ви можете зробити все це на тому ж Ubuntu, яке вже забезпечує ваші робочі навантаження: одна ОС, одна модель безпеки, всюди.

І це лише початок. Підтримка AMD SEV-SNP з боку хоста в Ubuntu 25.04 продовжиться в Ubuntu 26.04 LTS, забезпечуючи довгострокову підтримку для виробничих розгортань, а також права на Ubuntu Pro, що включають сертифіковані ядра FIPS, Livepatch та багато іншого.

Canonical залишається відданим тісній співпраці зі своїми партнерами по кремнію та оточенням відкритого програмного забезпечення, щоб очолити шлях у конфіденційних обчисленнях та постачати функції, які є високозахищеними та інтуїтивними у використанні.