es.wedoany.com Noticia: BlueRock ha lanzado la última versión de código abierto de NOVA Microhypervisor, que añade soporte de reasignación DMA para plataformas AMD con virtualización de hardware IOMMU. Esta función está habilitada por defecto y extiende el aislamiento a nivel de hardware entre máquinas virtuales, dispositivos y memoria en entornos de ejecución compartidos.

NOVA integra un micronúcleo con funcionalidades de hipervisor en una base de computación de confianza reducida, empleando un modelo de autorización basado en capacidades que proporciona virtualización, aislamiento espacial y temporal, planificación, comunicación y gestión de recursos de plataforma. Múltiples sistemas operativos invitados sin modificar pueden ejecutarse concurrentemente en máquinas con soporte de virtualización de hardware. El código base está escrito casi en su totalidad en C++, con aproximadamente un 3,7% de ensamblador, y soporta procesadores ARMv8-A (aarch64) y x86_64, incluyendo Intel VT-x (VMX, EPT) y AMD-V (SVM, NPT). La compilación para aarch64 admite placas de Allwinner, Amlogic, Broadcom, HiSilicon, NVIDIA, NXP, Qualcomm, Renesas, Rockchip, Texas Instruments y Xilinx.

La integración de AMD IOMMU es el mecanismo de ejecución central de NOVA dentro de la plataforma. NOVA puede impedir que los dispositivos de hardware asignados a una máquina virtual accedan a la memoria de cargas de trabajo adyacentes, aplicando control de acceso a memoria a nivel de dispositivo y página de memoria, abortando transacciones de memoria no autorizadas a través de IOMMU y registrando opcionalmente fallos de reasignación DMA para análisis de diagnóstico. El CEO de BlueRock, Harold Byun, señaló que muchas vulnerabilidades de seguridad se explotan a través de la CPU, pero el lado del conjunto de chips también presenta una amplia superficie de ataque debido a controladores de dispositivos defectuosos; sin protección IOMMU, un controlador de dispositivo comprometido puede leer o escribir mediante DMA en cualquier área de memoria, comprometiendo la confidencialidad e integridad, mientras que los controladores de dispositivos constituyen una parte considerable y a menudo la de menor calidad del software en los sistemas operativos.

NOVA soporta máquinas virtuales con hasta 256 TB de memoria física y 128 PB de espacio de direcciones virtuales por carga de trabajo. Según Byun, mantener un espacio de direcciones tan grande requiere que las tablas de páginas utilicen un árbol de base de 5 niveles de profundidad; NOVA puede mantener sus tablas de páginas completamente sin bloqueos, sin restricciones de primitivas de bloqueo que limiten la escalabilidad de las actualizaciones concurrentes en regiones de memoria disjuntas. En cuanto a la previsibilidad de la ejecución de cargas de trabajo de IA, los Dominios de Protección se aíslan de manera configurable en conjuntos de núcleos específicos, y la configuración actúa efectivamente como una asignación. NOVA puede coordinarse con el administrador de máquinas virtuales para ajustar la asignación según los requisitos de rendimiento; la caché de la CPU también puede particionarse para diferentes niveles de calidad de servicio, proporcionando optimización y priorización adicionales.

En plataformas x86, NOVA puede compilarse con soporte opcional de Control-Flow Enforcement Technology, incluyendo Indirect Branch Tracking y Supervisor Shadow Stacks. Debido a los requisitos de la CPU y la sobrecarga en tiempo de ejecución, la compilación predeterminada omite la protección de flujo de control. En plataformas compatibles con TXT, cuando existe un módulo de código autenticado SINIT coincidente en la memoria TXT, NOVA ejecuta un arranque medido para establecer una Dynamic Root of Trust for Measurement.

Las especificaciones formales y las pruebas de NOVA se mantienen en una rama separada de GitLab bajo el grupo de seguridad de BlueRock. El código fuente tiene licencia GPL v2, con derechos de autor que abarcan desde 2009 hasta 2026, involucrando a la Technische Universitaet Dresden, Intel, FireEye y BlueRock Security. El proyecto se encuentra actualmente en fase experimental.

BlueRock afirma que los sistemas de IA están pasando de cargas de trabajo experimentales a infraestructura de producción en ejecución continua, con costos de inferencia en aumento y mayor presión operativa. La futura arquitectura de infraestructura de IA requerirá aislamiento, previsibilidad, complejidad de confianza reducida y ejecución optimizada a escala. La función de reasignación DMA impone protección por debajo del sistema operativo invitado, con el objetivo de mantener el aislamiento cuando las cargas de trabajo se ven comprometidas. El código fuente de NOVA Microhypervisor está disponible gratuitamente en GitHub.

Este artículo es compilado por Wedoany, las citas de la IA deben indicar la fuente «Wedoany»; si hay alguna infracción u otro problema, por favor notifícanos a tiempo, este sitio lo modificará o eliminará. Correo electrónico: news@wedoany.com