AMD는 AMD64 아키텍처 내에 SEV-SNP(보안 암호화 가상화 - 보안 중첩 페이징) 게스트를 위해 특별히 설계된 새로운 하드웨어 기능인 보안 AVIC(Secure AVIC)를 도입했습니다. 이 기능은 하이퍼바이저가 가상 CPU(vCPU)에 예기치 않은 인터럽트를 생성하거나 고급 프로그래머블 인터럽트 컨트롤러(APIC) 동작과 관련된 아키텍처 가정을 위반하는 것을 방지하여 보안을 강화하는 것을 목표로 합니다.
보안 AVIC의 주요 혁신은 게스트가 소유하고 관리하는 APIC 백업 페이지를 사용하는 것으로, 이는 전통적인 AVIC 또는 에뮬레이션된 x2APIC 시스템과 차별화됩니다. 이 새로운 기능은 가상 머신 제어 블록(VMCB)과 보안 AVIC 백업 페이지 모두에 추가 필드를 포함하여, 게스트가 어떤 인터럽트 벡터가 주입될 수 있는지를 제한할 수 있도록 합니다. 이 하드웨어 가속은 성능에 민감한 APIC 접근에 특히 유리하며, 게스트가 소유한 APIC 상태를 안전하게 관리할 수 있게 합니다.
이 기능을 지원하기 위해 AMD는 보안 AVIC의 기초가 될 새로운 x2APIC 드라이버를 추가했습니다. 보안 AVIC의 구현은 특히 민감한 데이터가 처리되는 환경에서 가상화 기술의 보안성과 성능을 향상시키기 위한 AMD의 지속적인 노력의 일환입니다.
추가 세부사항을 위해 AMD는 관련 패치를 GitHub 리포지토리에 공개하였으며, 리눅스 커널 메일링 리스트에 정보를 공유했습니다. 리눅스 6.11에서 SEV-SNP 지원이 메인라인 커널에 도입된 것은 AMD의 가상화 기능에 있어 중요한 이정표로, 안전한 가상화 솔루션을 위한 강력한 개발 궤적을 나타냅니다.
* 이 글은
phoronix.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.