QEMU 11.0.0: AWS Nitro Enclaves jetzt lokal testen
QEMU 11 bringt einen neuen „nitro“-Accelerator für AWS Nitro Enclaves, mehr Schutz für vertrauliche VMs und erweiterte Unterstützung für viele Architekturen.
(Bild: heise medien)
QEMU 11.0.0 ist da: Die neue Version erweitert vor allem die Cloud-Unterstützung, Confidential Computing und verschiedene Hardwarearchitekturen. Zu den wichtigsten Neuerungen zählen ein neuer „nitro“-Accelerator für AWS Nitro Enclaves, zusätzliche Sicherheitsfunktionen für verschlüsselte VMs sowie Verbesserungen am Grafik- und Storage-Stack. QEMU ist ein weit verbreiteter Open-Source-Hypervisor und Emulator. Er beherrscht sowohl vollständige Virtualisierung über KVM, WHPX oder HVF als auch reine CPU-Emulation per TCG.
Nitro Enclaves lokal ausführen
Ein Schwerpunkt von Version 11.0.0 ist der neue „nitro“-Accelerator. Damit laufen AWS Nitro Enclaves erstmals nativ in QEMU. Diese Enclaves sind stark isolierte Laufzeitumgebungen innerhalb von EC2-Instanzen. Sie haben weder Netzwerkzugriff noch persistenten Speicher und eignen sich für sicherheitskritische Workloads wie Schlüsselverwaltung oder die Verarbeitung sensibler Daten. Entwickler können solche Szenarien in QEMU nun lokal testen, ohne auf AWS-Infrastruktur zurückgreifen zu müssen.
Videos by heise
Mehr Schutz für vertrauliche VMs
Im Bereich Confidential Computing baut QEMU die Unterstützung hardwarebasierter Sicherheitsmechanismen aus. Neu ist die Virtualisierung von Intels Control-flow Enforcement Technology (CET), die ROP-, JOP- und COP-Angriffe erschwert. Außerdem kann KVM SEV-SNP- und TDX-VMs nun zurücksetzen. Dafür initialisiert QEMU einen neuen, verschlüsselten Gastkontext. SEV-SNP und TDX schirmen virtuelle Maschinen gegen den Host ab und verschlüsseln deren Speicher.
Auch bei den Hypervisor-Backends gibt es Fortschritte. QEMU verbessert die Unterstützung der Beschleuniger MSHV und WHPX. Auf macOS beschleunigt HVF nun ARM-Workloads mit der Scalable Matrix Extension 2 (SME2), sofern die Host-CPU diese unterstützt.
Grafik und Storage
Im Grafikstack erweitert QEMU virtio-gpu um den Modus „DRM native context“ für ausgewählte Linux-Grafiktreiber. Zudem lassen sich pro virtuellem Display unterschiedliche Auflösungen festlegen. Das erleichtert Multi-Monitor-Setups in VMs und verbessert die Anbindung moderner Grafik-APIs.
Im Block-Layer unterstützt der NFS-Treiber jetzt libnfs v6, außerdem haben die Entwickler die curl- und FUSE-basierten Blocktreiber überarbeitet. Das ist vor allem für Netzwerk-Storage und Host-seitige Image-Werkzeuge relevant: QEMU verbessert die Anbindung von Images auf NFS-Servern sowie über HTTP(S)/FTP erreichbaren Quellen. Per FUSE lassen sich Images zudem als Raw-Image für Host-Tools bereitstellen.
Der Tiny Code Generator (TCG), QEMUs Backend für reine Software-Emulation, unterstützt nun C++-Plugins direkt im Quellbaum. Das vereinfacht die Entwicklung von Analyse- und Instrumentierungswerkzeugen, etwa für Tracing oder Performance-Profiling.
Erweiterte Architekturunterstützung
Darüber hinaus erweitert QEMU 11.0.0 die Unterstützung zahlreicher Prozessorarchitekturen. Auf ARM kommen die CPU-Features FEAT_ASID2 und FEAT_E2H0 hinzu, außerdem emuliert TCG nun die Scalable Matrix Extension (SME). Für x86 unterstützt QEMU nun Intels kommende Diamond-Rapids-Prozessoren. RISC-V erhält mehrere neue ISA-Erweiterungen sowie eine verbesserte Darstellung der Control and Status Register. Auch LoongArch, HPPA, s390 und PowerPC erhalten neue Funktionen wie erweiterte ISA-Emulation, Snapshot-Support und zusätzliche Boot-Optionen.
Alle Informationen zu QEMU 11 finden sich in den Release Notes auf der Webseite des Projekts.
(fo)
