De acordo com pt.wedoany.com-A BlueRock lançou a versão mais recente de código aberto do NOVA Microhypervisor, adicionando suporte a remapeamento DMA para plataformas AMD com virtualização de hardware IOMMU. Esse recurso, ativado por padrão, estende o isolamento em nível de hardware entre máquinas virtuais, dispositivos e memória em ambientes de execução compartilhados.

O NOVA integra funcionalidades de micronúcleo e hipervisor em uma base de computação confiável reduzida, empregando um modelo de autorização baseado em capacidades para fornecer virtualização, isolamento espacial e temporal, escalonamento, comunicação e gerenciamento de recursos da plataforma. Múltiplos sistemas operacionais convidados não modificados podem ser executados simultaneamente em máquinas com suporte a virtualização de hardware. O código é quase inteiramente escrito em C++, com aproximadamente 3,7% em linguagem assembly, suportando processadores ARMv8-A (aarch64) e x86_64, abrangendo Intel VT-x (VMX, EPT) e AMD-V (SVM, NPT). A compilação aarch64 oferece suporte a placas da Allwinner, Amlogic, Broadcom, HiSilicon, NVIDIA, NXP, Qualcomm, Renesas, Rockchip, Texas Instruments e Xilinx.

A integração AMD IOMMU é um mecanismo central de execução do NOVA dentro da plataforma. O NOVA pode impedir que dispositivos de hardware atribuídos a uma máquina virtual acessem a memória de cargas de trabalho adjacentes, aplicando controle de acesso à memória em granularidade por dispositivo e por página de memória, abortando transações de memória não autorizadas via IOMMU e registrando opcionalmente falhas de remapeamento DMA para análise de diagnóstico. O CEO da BlueRock, Harold Byun, destacou que, embora muitas vulnerabilidades de segurança sejam exploradas via CPU, o lado do chipset também apresenta uma grande superfície de ataque devido a drivers de dispositivo defeituosos; sem proteção IOMMU, um driver comprometido pode ler ou gravar via DMA em qualquer região de memória, comprometendo confidencialidade e integridade, enquanto drivers de dispositivo representam uma parte significativa e frequentemente de baixa qualidade do software em sistemas operacionais.

O NOVA suporta máquinas virtuais com até 256 TB de memória física e 128 PB de espaço de endereço virtual por carga de trabalho. Segundo Byun, manter um espaço de endereço tão grande requer tabelas de páginas com árvores radix de 5 níveis de profundidade; o NOVA consegue manter suas tabelas de páginas completamente sem bloqueios, sem primitivas de trava que limitem a escalabilidade de atualizações concorrentes em regiões de memória disjuntas. Quanto à previsibilidade de execução de cargas de trabalho de IA, os Domínios de Proteção (Protection Domains) são isolados em conjuntos específicos de núcleos de forma configurável, com a configuração atuando essencialmente como uma alocação. O NOVA pode cooperar com o gerenciador de máquinas virtuais para coordenar alocações conforme requisitos de desempenho; o cache da CPU também pode ser particionado para diferentes níveis de qualidade de serviço, oferecendo otimização e priorização adicionais.

Em plataformas x86, o NOVA pode ser compilado com suporte opcional à Tecnologia de Reforço de Fluxo de Controle (Control-Flow Enforcement Technology), incluindo Rastreamento de Ramificação Indireta (Indirect Branch Tracking) e Pilhas Sombra do Supervisor (Supervisor Shadow Stacks). Devido a requisitos de CPU e sobrecarga em tempo de execução, a proteção de fluxo de controle é omitida na compilação padrão. Em plataformas com suporte a TXT, quando um Módulo de Código Autenticado SINIT (SINIT Authenticated Code Module) correspondente está presente na memória TXT, o NOVA executa uma inicialização medida para estabelecer uma Raiz Dinâmica de Confiança para Medição (Dynamic Root of Trust for Measurement).

As especificações formais e provas do NOVA são mantidas em um branch separado do GitLab sob o grupo de segurança da BlueRock. O código-fonte é licenciado sob GPL v2, com direitos autorais cobrindo de 2009 a 2026, envolvendo a Technische Universitaet Dresden, Intel, FireEye e BlueRock Security. O projeto ainda está em fase experimental.

A BlueRock afirma que os sistemas de IA estão transitando de cargas de trabalho experimentais para infraestrutura de produção em execução contínua, com custos de inferência aumentando e pressões operacionais crescendo. A arquitetura futura de infraestrutura de IA exigirá isolamento, previsibilidade, complexidade de confiança reduzida e execução simplificada em escala. O recurso de remapeamento DMA impõe proteção abaixo do sistema operacional convidado, visando manter o isolamento quando as cargas de trabalho são comprometidas. O código-fonte do NOVA Microhypervisor está disponível gratuitamente no GitHub.

Este texto foi elaborado por Wedoany. Qualquer citação por IA deve indicar a fonte “Wedoany”. Em caso de infração ou outros problemas, informe-nos prontamente, por favor. O conteúdo será corrigido ou removido. E-mail: news@wedoany.com