GPU áthaladásbiztonság

• Ha a vendég veszélybe kerül, képes-e tartósan megfertőzni a GPU-t és annak firmware-jét?

Az OpenStack szerint dokumentáció , igen .

Számos hipervizor kínál PCI áteresztés néven ismert funkciót. Ez lehetővé teszi egy példány közvetlen hozzáférését a csomópont egy hardveréhez. Például is használható, hogy a példányok hozzáférhessenek a videokártyákhoz vagy a processzorokhoz, amelyek nagy teljesítményű számításhoz kínálják a számítás egységes eszközarchitektúráját (CUDA).

Ez a szolgáltatás kétféle biztonsági kockázatot hordoz magában: közvetlen memóriaelérés és hardverfertőzés .

A közvetlen memóriamegközelítés csak azokra az eszközökre vonatkozik, amelyek nem használják az IOMMU-t.

• Annak ellenére, hogy a VT-d / IOMMU-t úgy tervezték, hogy biztonságosan tárolja az eszközöket a virtuális gépen, használhatja-e a vendég a GPU-t a gazdagép (operációs rendszer vagy bármely más eszköz) veszélyeztetésére?

Esetleg, ha az eszközt a gazdagép használja.

Hardverfertőzés akkor fordul elő, amikor egy példány rosszindulatúan módosítja a firmware-t vagy az eszköz más részét. Mivel ezt az eszközt más példányok vagy a gazdagép operációs rendszere használja, a rosszindulatú kód átterjedhet ezekre a rendszerekre. A végeredmény: hogy egy példány futtathat kódot a biztonsági tartományán kívül. Ez jelentős megsértés, mivel a fizikai hardver állapotát nehezebb alaphelyzetbe állítani, mint a virtuális hardvert, és további kitettséghez vezethet, például hozzáféréshez a felügyeleti hálózathoz.

Megjegyzések

• A " eszközt " használja a gazdagép a virtuális gép leállítása után? Vagy bármikor?
• Legalább az eszközt " használja " a BIOS, amikor a A következő gépen újraindítják a gazdagépet, és megpróbálja kideríteni, hogy mely eszközök vannak a rendszerben.
• Úgy gondolom, hogy a hardveres fertőzéshez hozzáférés szükséges a PCI konfigurációs teréhez (az opcionális ROM-ok megírásához). Nem hiszem, hogy ' azt gondolom, hogy a CUDA elegendő ahhoz, hogy " " egy GPU-t tartósan megfertőzzen kódot.