Canonical, un leader de l’Open Source et éditeur d’Ubuntu, et Intel annoncent collaborer ensemble pour faire progresser le Confidential Computing. Intel TDX basé sur Ubuntu sera disponible chez de nombreux fournisseurs de cloud public comme Microsoft Azure et Google Cloud afin de permettre le développement du Confidential Computing hybride multi-cloud.
Les organisations peuvent désormais utiliser en toute confiance Intel TDX, ce partenariat leur garantissant une expérience sécurisée et optimisée. Elles ont un accès constant à une version optimisée d’Ubuntu sur Intel, intégrant automatiquement toutes les dernières modifications essentielles, du serveur au terminal utilisateur, même avant leur intégration initiale.
Les résultats de ce partenariat stratégique sont déjà visibles avec la récente version de test d’Intel TDX sur Ubuntu 23.10. Les organisations peuvent démarrer leur parcours en Confidentiel Computing avec Ubuntu sur Intel TDX, et se projeter sur du moyen et long terme pour Ubuntu 24.04 LTS et au-delà.
Grâce à un processeur Intel Xeon Scalable de 5e génération, il est simple de déployer facilement à la fois un hôte Ubuntu pour Intel TDX avec le noyau, Libvirt QEMU et le firmware virtuel Trust Domain, ainsi qu’une machine virtuelle Ubuntu invité Intel TDX équipée du noyau éclairé, de Shim et de Grub nécessaires.
Conçu pour établir des machines virtuelles sécurisées et isolées appelées domaines de confiance, Intel TDX vise à les protéger contre diverses menaces logicielles potentielles, y compris celles provenant du gestionnaire de machines virtuelles et d’autres logiciels non liés au domaine de confiance sur la plateforme. Intel TDX renforce également la défense contre des attaques physiques spécifiques sur la mémoire de la plateforme, telles que les attaques de démarrage à froid et les attaques actives sur les interfaces DRAM. Pour ce faire, les processeurs compatibles Intel TDX intègrent un nouveau moteur de cryptage matériel AES-128 qui chiffre les pages de mémoire en temps réel, utilisant une clé de cryptage protégée par la racine de confiance matérielle TDX et accessible exclusivement par le propriétaire invité du domaine de confiance.
Pour offrir de telles garanties de sécurité, la solution repose sur les innovations d’Intel au niveau du silicium. Initialement, cette capacité était uniquement disponible sur certaines références de leurs processeurs évolutifs Intel® Xeon de 4ᵉ génération, proposées via un nombre limité de fournisseurs de cloud public. À présent, Intel a annoncé la disponibilité générale d’Intel TDX sur le marché via ses processeurs évolutifs Intel® Xeon de 5ᵉ génération, anciennement connus sous le nom de code Emerald Rapids.
Dans l’écosystème Linux, une mise à niveau matérielle implique l’intégration en amont des correctifs avant leur incorporation dans les distributions en aval. C’est un processus chronophage, avec le risque imminent d’un écart croissant entre l’innovation en silicium et la préparation logicielle, ce qui ne fera qu’augmenter alors qu’Intel continue de repousser les limites de l’innovation matérielle pour les processeurs évolutifs Intel Xeon de 5e génération et au-delà.
En prévision de l’intégration d’Intel TDX dans les images génériques d’Ubuntu 24.04, Canonical adopte une approche progressive quant au niveau de maintenance de la sécurité et du support d’entreprise proposé pour ces constructions optimisées pour Intel TDX. À partir d’Ubuntu 23.10, une version de test d’Intel TDX est déjà disponible pour l’activation à la fois de l’hôte et de l’invité, où Canonical fournit des scripts conviviaux pour une configuration aisée de l’environnement confidentiel. La capacité d’attestation à distance est attendue pour décembre 2023, et les ressources de configuration sont accessibles sur GitHub. Canonical assure le support de première ligne lors de cette préversion technique, tandis qu’Intel gère le support de deuxième ligne.
Les mises à jour de sécurité sont régulièrement appliquées au noyau 6.5. Parallèlement, les Personal Package Archives (PPA) pour QEMU, Libvirt et TDVF sont systématiquement synchronisées avec les mises à jour amont pour garantir cohérence et compatibilité. QEMU est un logiciel libre et open-source fournissant une émulation matérielle complète pour processeurs et systèmes d’exploitation. Libvirt est une plateforme open-source offrant des outils et une interface de programmation pour gérer diverses technologies de virtualisation. Le Trust Domain Virtual Firmware (TDVF) désigne un logiciel spécialisé garantissant la sécurité et l’isolement des données dans des environnements virtuels.
“Intel et Canonical travaillent en étroite collaboration pour intégrer nos capacités de sécurité dans l’environnement d’exploitation d’Ubuntu. Grâce à cette collaboration, Canonical propose désormais une version optimisée, intégrant tous les derniers éléments architecturaux Intel TDX et les innovations des processeurs évolutifs Intel® Xeon de 5e génération”, a déclaré Mark Skarpness, VP et General Manager de l’ingénierie des logiciels système chez Intel.”Cela permettra aux clients d’avoir une meilleure sécurisation de leurs données les plus sensibles, tout en préservant la confidentialité et en favorisant la conformité.”
“Nous sommes ravis d’étendre notre partenariat de longue date avec Intel à Intel® TDX”, a déclaré Cindy Goldberg, le VP de l’Alliance Silicium chez Canonical.”Cela permettra aux utilisateurs des processeurs Intel Xeon Scalable de 5e génération de commencer dès aujourd’hui à construire leur infrastructure de Confidentiel Computing avec Ubuntu, et de bénéficier de nos solides garanties de confidentialité et d’intégrité.”