O kernel Linux acaba de receber, em forma de RFC V5, uma série de patches de Tianyu Lan (Microsoft) que habilita o AMD Secure AVIC no Hyper-V. Essa integração eleva o patamar de proteção das máquinas virtuais SEV-SNP da AMD, impedindo que o hypervisor injete interrupções (IRQs) não autorizadas nos vCPUs do guest. Para workloads de computação confidencial, isso significa menos superfície de ataque e mais tranquilidade para quem roda cargas críticas na nuvem ou em data centers baseados em Hyper-V.
O que é o AMD Secure AVIC?
O Advanced Virtual Interrupt Controller (AVIC) já existia como parte da virtualização de CPUs AMD. Com a geração SEV-SNP, ele ganhou o adjetivo Secure:
- Cada vCPU passa a ter uma APIC backing page de 4 KB, alocada e gerenciada exclusivamente pela VM.
- Dentro dessa página, o campo ALLOWED_IRR lista os vetores de interrupção que o guest aceita receber.
- O hardware impede que o hypervisor envie qualquer IRQ fora dessa lista.
Em outras palavras, o Secure AVIC fecha uma lacuna: a de ataques baseados em injeção maliciosa de interrupções, algo que poderia comprometer as garantias de isolamento do SEV-SNP.
Como funciona a proteção?
- Definição de política no guest – O kernel Linux popula o campo ALLOWED_IRR com os vetores estritamente necessários (ex.: timers, VMBus).
- Enforcement em silício – O processador AMD verifica cada tentativa de entrega de IRQ feita pelo hypervisor. Se o vetor não estiver na lista, ele simplesmente descarta.
- Zero confiança no hypervisor – O modelo assume que o hypervisor pode ser malicioso ou comprometido. Ainda assim, a VM continua íntegra, pois controla seu próprio roteamento de interrupções.
O que muda para quem usa Linux no Hyper-V?
- Blindagem adicional em workloads sensíveis (dados financeiros, chaves criptográficas, IA proprietária).
- Menor código de confiança: parte da lógica de entrega de IRQ sai do hypervisor e vai direto para o hardware.
- Compatibilidade transparente: a série de patches ajusta drivers do APIC, do VMBus e o timer do Hyper-V para usar a nova interface apenas quando a função está presente. Em sistemas legados, tudo continua funcionando como antes.
Colaboração Microsoft + AMD
O trabalho de Tianyu Lan se apoia no patchset “AMD: Add Secure AVIC Guest Support” publicado em junho pela própria AMD. Isso demonstra uma sinergia crescente entre Microsoft e AMD para fortalecer o ecossistema de virtualização Linux em ambientes mistos, onde Hyper-V hospeda VMs Linux que exigem segurança de ponta.
Próximos passos
Por estar em fase RFC, o código ainda passará por revisões na mailing list do kernel. Mas o caminho está aberto: assim que a funcionalidade entrar no mainline, provedores de nuvem e administradores de data center poderão combinar Hyper-V, Linux e SEV-SNP com uma camada extra de proteção contra ataques ao subsistema de interrupções.